Apache Jackrabbit Exposes Systems To Arbitrary Code Execution Attacks
2025/09/08 CyberSecurityNews — エンタープライズ CMS や Web アプリで広く利用される、OSS コンテンツ・リポジトリ Apache Jackrabbit に、深刻なセキュリティ脆弱性 CVE-2025-58782 が発見された。この脆弱性を悪用する未認証の攻撃者は、脆弱なサーバ上で任意コード実行 (RCE) を引き起こす可能性があり、システム・セキュリティおよびデータ機密性に深刻なリスクが生じている。
この脆弱性 CVE-2025-58782 (JCR-5135) は、Apache Jackrabbit の特定コンポーネントが Java Naming and Directory Interface (JNDI) ルックアップを処理する方法に起因するものであり、信頼できないデータのデシリアライゼーションに分類される。具体的に言うと、信頼できないソースや公開ソースからの JCR ルックアップ用 JNDI URI を受け入れるように、デプロイメントがコンフィグされている場合において、この経路が攻撃者により悪用される。
攻撃者は細工した悪意の JNDI 参照を送信し、アプリケーションに処理させることが可能となる。この操作により、攻撃者が制御するソースから提供される、信頼できないデータのデシリアライズがトリガーされ、アプリケーション権限を介して基盤サーバ上で任意のコマンド実行の可能性が生じる。この脆弱性が悪用されると、マルウェアのインストール/機密データの窃取/対象システムの完全制御に至る恐れがある。
この問題はセキュリティ研究者 James John により報告された。
影響を受けるバージョン
この脆弱性は広範囲に及び、プロジェクト基盤コンポーネント2つのリリースに対して、20 年以上にわたり潜在的な影響を及ぼしてきた。以下のバージョンを利用するユーザーはリスクに直面しているため、直ちにシステム確認を行う必要がある。
- Apache Jackrabbit JCR Commons (org.apache.jackrabbit:jackrabbit-jcr-commons):バージョン 1.0.0 ~ 2.22.1
- Apache Jackrabbit Core (org.apache.jackrabbit:jackrabbit-core):バージョン 1.0.0 ~ 2.22.1
緩和策と推奨事項
すでに Apache Jackrabbit プロジェクト・チームは、パッチをリリースし、この深刻なリスクに対処している。
管理者に対して強く推奨されるのは、影響を受ける全てのデプロイメントを、バージョン 2.22.2 以降へとアップグレードすることだ。これらの新バージョンでは、JNDI 経由の JCR ルックアップがデフォルトで無効化されているため、大半のユーザー環境において攻撃経路は遮断される。
この JCR ルックアップ機能が必要な場合には、システム・プロパティで明示的に有効化する必要がある。この機能を再び有効化する開発者は、利用時のセキュリティを慎重に確認し、未検証のユーザーが提供するデータの処理中に、JNDI URI に影響を及ぼさないよう徹底すべきである。この脅威を軽減する、最も効果的な手段は、アップデートの適用である。
Apache Jackrabbit で発見された脆弱性は、JNDI ルックアップ処理の仕組みに起因するものである。具体的に言うと、信頼できないソースから提供された JNDI URI をそのまま受け入れてしまうと、悪意のあるデータがデシリアライズされ、アプリケーション権限で任意コード実行が可能になるという問題が生じている。つまり、外部から細工された JNDI 参照を処理してしまう設計が原因で、攻撃者にシステム制御を許すリスクが生じていると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Apache で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.