HubSpot Jinjava に RCE の脆弱性 CVE-2025-59340 が FIX:数千サイトに影響を及ぼす可能性

HubSpot’s Jinjava Engine Flaw Exposes Thousands of Sites to RCE Attacks

2025/09/19 gbhackers — HubSpot の Jinjava テンプレート・エンジンに、深刻なセキュリティ脆弱性 CVE-2025-59340 が発見された。この脆弱性は CVSS スコア 10.0 と評価され、深刻度の高さを示しており、数千の Web サイト/アプリをリモート・コード実行 (RCE) 攻撃の脅威にさらす可能性がある。

サンドボックス・バイパスによる危険なエクスプロイト

この脆弱性は、テンプレート・エンジンに組み込まれたセキュリティ制限を、攻撃者に回避させるサンドボックス・バイパスに起因する。Jinjava のサンドボックスは、getClass() などの危険なメソッドへの直接アクセスを防ぎ、Class オブジェクトのインスタンス化をブロックする設計となっている。しかし、セキュリティ研究者が発見したのは、JavaType ベースのデシリアライゼーションを用いることで、これらの保護を回避できることだ。

CVE IDAffected ProductCVSS 3.1 ScoreImpact
CVE-2025-59340HubSpot Jinjava Template Engine10.0 (Critical)Sandbox bypass leading to RCE, file access, SSRF

攻撃者は、jinjavaInterpreter インスタンスへの直接アクセスを提供する、組み込み変数 int3rpr3t3r を悪用できるという。そして、config フィールドを経由して基盤となる ObjectMapper にアクセスし、制御下にある入力を readValue() に渡すことで任意のクラスをインスタンス化できる。この手法は constructFromCanonical() メソッドを利用し、制限されたメソッド保護をトリガーせずに、任意のクラス・インスタンスを生成する。

この脆弱性が及ぼす影響は、Jinjava のバージョン 2.8.1 未満を実行するアプリケーションにおいて顕著であり、すでに修正済みのバージョン 2.8.1 が公開されている。この攻撃の前提としてネットワーク・アクセスが必要になるが、特別な権限やユーザー操作は不要であるため、リモート攻撃者により容易に悪用される可能性がある。

この脆弱性の悪用に成功した攻撃者は、サーバのファイル・システムから任意のファイルを読み取り、サーバサイド・リクエスト・フォージェリ (SSRF) 攻撃を実行し、利用可能なクラスに応じて、完全な RCE も可能にする。

セキュリティ研究者が実証した、この脆弱性の深刻さは、java.net.URL オブジェクトをインスタンス化した攻撃者が、”/etc/passwd” などの機密性の高いシステム・ファイルを読み取る手法で示されている。さらに、この PoC エクスプロイトを、他の手法と組み合わせることで、権限昇格が可能となり、重要なシステム・リソースへの不正アクセスも可能になることが明らかになった。

推奨される対応策

HubSpot の Jinjava テンプレート・エンジンを利用する組織にとって必要なことは、バージョン 2.8.1 以降へと速やかにアップグレードし、この深刻な脆弱性の影響を軽減することだ。この CVE-2025-59340 は、セキュリティ研究者 taisehub と odgrso により責任ある形で報告され、HubSpot は一般公開前にパッチを開発/リリースしている。

システム管理者は、自社アプリケーションでの Jinjava の使用状況を監査し、脆弱性の深刻度と悪用の容易さを考慮の上、パッチ適用を優先すべきである。

この脆弱性は CWE-1336 に該当し、テンプレート・エンジンにおける特殊要素の不適切な無効化を示している。それは Web アプリケーション開発における、一般的なセキュリティ上の落とし穴である。

Jinjava に発見されたの脆弱性は、サンドボックス回避と不適切なデシリアライズ経路に起因します。具体的には、内部の int3rpr3t3r 経由で ObjectMapper にアクセスされ、制限を迂回して constructFromCanonical 等で任意クラスが生成されるため、ファイル参照や SSRF、最終的に RCE に至る構造です。なお、文中では PoC の存在が示されていますが、Feedly のアドバイザリでは否定されています。いずれにせよ、ご利用のチームは、ご注意ください。