Критическая уязвимость в Apache Commons Text угрожает базам данных FileMaker Server

В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, представляющая серьезную опасность для корпоративных сред. Уязвимость с идентификатором BDU:2025-16425 затрагивает популярную библиотеку Apache Commons Text и, что наиболее важно, серверы баз данных FileMaker Server от компании Claris International Inc. Эксперты оценивают базовый уровень опасности как критический.

Детали уязвимости

Суть проблемы заключается в ошибке типа "неверное управление генерацией кода". Если точнее, уязвимость существует в функциях интерполяции строк библиотеки Apache Commons Text. Злоумышленник, действующий удаленно, может отправить специально сформированные данные, которые при обработке приведут к выполнению произвольного кода на атакуемом сервере. Другими словами, это классическая уязвимость внедрения кода, которая открывает полный контроль над системой.

Под ударом находятся две ключевые технологии. Во-первых, это библиотека Apache Commons Text версий до 1.10.0. Во-вторых, и это вызывает наибольшую озабоченность, это сетевое программное обеспечение FileMaker Server версий до 22.0.4. FileMaker Server широко используется для развертывания и администрирования пользовательских баз данных в бизнес-среде. Следовательно, успешная атака может привести к полной компрометации критически важных для компании данных и приложений.

Оценка по методологии CVSS (Common Vulnerability Scoring System) подтверждает исключительную серьезность угрозы. По шкале CVSS 2.0 уязвимость получила максимально возможный базовый балл - 10.0. По более современной шкале CVSS 3.1 оценка лишь немногим ниже - 9.8. Такие высокие баллы означают, что для эксплуатации уязвимости не требуются ни специальные привилегии, ни взаимодействие с пользователем. Атака может быть проведена удаленно через сеть, а ее последствия - полный компромисс конфиденциальности, целостности и доступности системы.

К счастью, производители уже отреагировали на угрозу. Уязвимость подтверждена, и для обоих продуктов выпущены патчи, полностью устраняющие проблему. Разработчики Apache настоятельно рекомендуют всем пользователям библиотеки Commons Text немедленно обновиться до версии 1.10.0 или более поздней. В свою очередь, компания Claris выпустила обновление безопасности для FileMaker Server, версия 22.0.4 и выше содержит необходимые исправления.

Хотя на текущий момент информация о существовании активных эксплойтов (вредоносных программ, использующих уязвимость) уточняется, промедление с обновлением крайне опасно. Учитывая критический характер уязвимости и популярность FileMaker в бизнес-сегменте, можно ожидать, что злоумышленники, особенно группы APT (Advanced Persistent Threat - целенаправленная устойчивая угроза), быстро попытаются включить эту атаку в свой арсенал. Основной способ эксплуатации - инъекция, что является распространенным вектором в кибератаках.

Таким образом, системным администраторам и специалистам по информационной безопасности необходимо в срочном порядке провести инвентаризацию инфраструктуры. Важно проверить все системы на наличие уязвимых версий Apache Commons Text и, что критически важно, FileMaker Server. Процесс обновления должен быть выполнен в кратчайшие сроки в соответствии с политиками изменениями. Для Apache Commons Text обновленные версии доступны на официальном сайте проекта и на GitHub. Инструкции по обновлению FileMaker Server опубликованы в базе знаний Claris.

В заключение, уязвимость BDU:2025-16425 (также известная как CVE-2025-46295) служит еще одним напоминанием о важности своевременного управления обновлениями программного обеспечения. Даже библиотеки, используемые в качестве зависимостей, могут стать причиной серьезных инцидентов. Оперативное применение патчей остается наиболее эффективной мерой защиты от подобных угроз, позволяя предотвратить потенциально катастрофические последствия, такие как утечка данных или полная остановка бизнес-процессов из-за атаки типа ransomware (программа-вымогатель).

Детали уязвимости

Ссылки