Critical Apache Commons Text Flaw Lets Hackers Execute Remote Code
2025/12/18 gbhackers — Apache が公表したのは、Apache Commons Text に存在する深刻なリモート・コード実行の脆弱性に関する情報である。脆弱性 CVE-2025-46295 は、テキストの操作と処理に広く使用される Java ライブラリにおいて、テキスト文字列内の変数や式を置換するための機能に存在する。この Apache Commons Text の脆弱性が影響を及ぼす範囲はバージョン 1.10.0 以下であり、ユーザー組織に重大なセキュリティ・リスクをもたらす。
アプリケーションからテキスト置換 API へと、信頼できない入力が直接渡されるときに、特定の補間機能を悪用する攻撃者が悪意のアクションをトリガーできることを、研究者たちが確認した。
これらの補間機能により、システム・コマンドの実行や外部リソースへのアクセスなどが可能になるため、それを悪用する攻撃者による、影響を受けるシステム上での完全なリモートコード実行が引き起こされる。
ユーザーが制御する入力をテキスト置換機能に渡すことのセキュリティ上の影響を、数多くの開発者が認識していない可能性があるため、この攻撃ベクターは極めて危険である。つまり、ユーザー入力を受け取り、脆弱な補間方式で処理するアプリケーションは、容易に標的化されてしまう。
攻撃者が可能にするのは、Apache Commons Text を実行しているアプリケーションの権限で、任意のコマンドを実行できる補間式を取り込んだ、特別に細工された入力文字列の作成である。
Apache Commons Text の影響を受けるバージョンを利用している組織に対しては、速やかなパッチの適用が強く推奨される。すでに Apache は、バージョン 1.14.0 をリリースし、この脆弱性に対処している。具体的には、危険な補間機能の削除/制限が施されている。
FileMaker Server (Claris) ユーザーは、22.0.4 以降にアップグレードすることで保護を確保できる。このバージョンには、パッチ適用済みの Apache Commons Text 1.14.0 が含まれている。
この脆弱性は匿名のセキュリティ研究者により、責任ある形で開示されたという。そのため、広範な悪用が発生する前に、パッチ作成に必要な時間を確保できたと、Claris は述べている。
一般的に利用されるコンポーネントの脆弱性が、多種多様なアプリケーションに影響する可能性がある。この脆弱性の発見が示すのは、サードパーティ・ライブラリのセキュリティ欠陥を継続的に精査する重要性である。
システム管理者にとって必要なことは、Apache Commons Text を利用するすべてのアプリケーションおよびサービスにおいて、バージョン 1.14.0 以降へと速やかにアップデートすることだ。
それに加えて、このテキスト補間関数に信頼できない入力が渡される可能性がある箇所を特定するために、アプリケーションの監査を実施する必要がある。
複数の FileMaker 環境を管理する企業は、セキュリティ態勢を維持するために、バージョン 22.0.4 以降へのアップグレードを速やかに実施する必要がある。
この問題の原因は、Java ライブラリである Apache Commons Text に備わっているテキスト補間機能の仕様にあります。この機能は、文字列の中にある変数や式を動的に置き換える便利なものですが、ユーザー入力をそのまま受け入れるため、システム・コマンド実行などを引き起こしてしまいます。つまり、攻撃者が用意した悪意のある命令が正規の処理として実行され、システムを乗っ取られるリスクが生じます。多様なアプリケーションで共通して使われる部品の不備であるため、その影響の広がりが懸念されます。よろしければ、Apache での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.