Apache Commons Text远程代码执行漏洞知会

近日，华为关注到Apache Commons Text存在一处远程代码执行漏洞（CVE-2022-42889），在StringSubstitutor 使用到replace功能的情况下，会对用户输入的内容进行一些特殊的处理，攻击者可以构造特殊的请求，触发远程代码执行。

政务云安全运营中心提醒使用Apache Commons Text的用户及时安排自检并做好安全加固。

漏洞处置

（1）     当前Apache官方已发布修复版本，建议升级至官方1.10.0版本。

（2）     政务云租户WAF具备对该漏洞防御能力：用户将“Web基础防护”状态设置为“拦截”模式，防护等级“中等”以上即可防护。

（3）     修复漏洞前请将资料和数据进行备份，并与客户应用供应商和维护方确认并进行充分测试。