Существует концептуальный эксплойт на основе Python для Text4Shell (CVE-2022-42889), критической уязвимости в Apache Commons Text. Эта уязвимость позволяет выполнять удаленный код в приложениях Java, использующих класс StringSubstitutor с включенной интерполяцией. Эксплуатация происходит через инъекцию зловредных выражений в уязвимый параметр, часто через параметр запроса data. Эксплойт использует синтаксис ${script:...} для выполнения произвольных системных команд. Этот конкретный PoC использует полезную нагрузку обратного доступа, отправленную через запрос POST. Пользователи должны адаптировать полезную нагрузку и путь запроса в зависимости от целевого приложения. Эксплойт предназначен только для образовательных целей и авторизованного тестирования на проникновение. Он был протестирован против версий Apache Commons Text до 1.10.0. Пользователи должны проявлять осторожность и использовать его ответственно.