Un exploit de preuve de concept basé sur Python existe pour Text4Shell (CVE-2022-42889), une vulnérabilité critique dans Apache Commons Text. Cette vulnérabilité permet l'exécution de code à distance dans les applications Java utilisant la classe StringSubstitutor avec l'interpolation activée. L'exploitation se produit par injection d'expressions malveillantes dans le paramètre vulnérable, souvent via le paramètre de requête « data ». L'exploit utilise la syntaxe ${script:...} pour exécuter des commandes système arbitraires. Ce PoC spécifique utilise une charge utile de shell inverse envoyée via une requête POST. Les utilisateurs doivent adapter la charge utile et le chemin de requête en fonction de l'application ciblée. L'exploit est destiné à des fins éducatives et de tests de pénétration autorisés uniquement. Il a été testé contre les versions d'Apache Commons Text antérieures à 1.10.0. Les utilisateurs doivent faire preuve de prudence et l'utiliser de manière responsable.