Auf den ersten Blick nicht mit CVE-2021-44228: log4j JNDI Attack vergleichbar, gibt es es eine vorläufige Warnung der NIST vor einem möglichen (Remote) Code execution bei Textinterpolation mit Apache Commons Text:
Apache Commons Text führt eine Variableninterpolation durch, wodurch Eigenschaften dynamisch ausgewertet und erweitert werden können. Das Standardformat für die Interpolation ist „${prefix:name}“, wobei „prefix“ verwendet wird, um eine Instanz von org.apache.commons.text.lookup.StringLookup zu finden, die die Interpolation durchführt. Beginnend mit Version 1.5 und weiterführend bis 1.9 enthielt der Satz von Standard-Lookup-Instanzen Interpolatoren, die zur Ausführung von beliebigem Code oder zum Kontakt mit entfernten Servern führen konnten.
CVE-Eintrag
https://nvd.nist.gov/vuln/detail/CVE-2022-42889