Apache Commons Textに重大なリモートコード実行の脆弱性が発見され、1.10.0より前のすべてのバージョンが影響を受けます。
CVE-2025-46295として追跡されているこの欠陥は、テキストの操作および処理のために広く使用されている Javaライブラリ に依存する組織にとって重大なセキュリティリスクとなります。
この脆弱性は、テキスト文字列内の変数や式を置換するために設計されたApache Commons Textの補間機能に存在します。
研究者は、アプリケーションが信頼できない入力をテキスト置換APIに直接渡すと、攻撃者が特定のインターポレーターを悪用して悪意のある動作を引き起こせることを発見しました。
これらのインターポレーターはシステムコマンドを実行したり外部リソースへアクセスしたりできるため、攻撃者は影響を受けるシステム上で完全なリモートコード実行を達成できます。
この攻撃ベクターが特に危険なのは、多くの開発者がユーザー制御の入力をテキスト置換関数に渡すことのセキュリティ上の影響に気づかない可能性があるためです。
ユーザー入力を受け付け、それを脆弱な補間メソッドで処理するアプリケーションは、直ちに悪用の標的となります。
攻撃者は、Apache Commons Textを実行しているアプリケーションの権限で任意のコマンドを実行する補間式を含む、特別に細工した入力文字列を作成できる可能性があります。
影響を受けるバージョンのApache Commons Textを使用している組織には、直ちにパッチを適用することが強く推奨されます。
Apacheはバージョン1.14.0をリリースしており、危険な補間機能を削除または制限することでこの脆弱性に対処しています。
FileMaker Serverのユーザーは、修正済みのApache Commons Text 1.14.0を含むバージョン22.0.4以降へアップグレードすることで保護を確保できます。
Clarisによると、この脆弱性は匿名のセキュリティ研究者によって責任ある形で開示され、広範な悪用が起こり得る前に開発者がパッチを準備するための十分な時間が確保されました。
この発見は、一般的に使用されるコンポーネントの脆弱性が業界をまたいで何千ものアプリケーションに影響し得ることから、サードパーティライブラリのセキュリティ欠陥を精査し続ける重要性を改めて浮き彫りにしています。
システム管理者は、Apache Commons Textを利用するすべてのアプリケーションとサービスを バージョン1.14.0以降へ更新することを優先すべきです。
また、信頼できない入力がテキスト補間関数を通じて処理されている箇所を特定するため、アプリケーションの監査も行うべきです。
複数のFileMaker導入環境を管理する企業では、セキュリティ態勢を維持するために、バージョン22.0.4以降へのアップグレードを直ちに予定に組み込むべきです。
翻訳元: https://gbhackers.com/critical-apache-commons-text-flaw-lets-hackers-execute-remote-code/
