1、产品描述：Apache旗下的Commons Text组件，用于执行各种文本操作，例如转义、计算字符串差异以及用通过插值器查找的值替换文本中的占位符。

2、影响产品或组件及版本：1.5 <= Apache Commons Text <= 1.9

3、受影响资产情况：美国(2365383578)、中国(339705789) 、加拿大(306304120)

4、技术细节表述：Apache Commons Text 是一个专注于处理字符串的算法的组件。在1.5-1.9版本中，若StringSubstitutor处理的字符串可控，攻击者则可通过该缺陷在受害者机器上执行任意代码。

5、修补措施：目前该漏洞已经修复，受影响用户可以升级到Apache Commons Text 1.10.0。下载链接：https://commons.apache.org/proper/commons-text/download_text.cgi

6、检测规则：检测到形如“script:Javascript:”关键词退出逻辑代码

7、漏洞来源：https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om