В популярном фреймворке Apache Jena, использующемся для работы с семантической паутиной, обнаружены две серьезные уязвимости, которые могут позволить администраторам создавать и читать файлы за пределами разрешенных директорий сервера. Это открывает возможность для компрометации систем и утечки конфиденциальных данных.
Детали уязвимостей
21 июля 2025 года были опубликованы два CVE, затрагивающие все версии Apache Jena вплоть до 5.4.0. Разработчики настоятельно рекомендуют немедленно обновиться до версии 5.5.0, чтобы устранить риски, связанные с эксплуатацией этих уязвимостей.
Первая уязвимость, получившая идентификатор CVE-2025-49656, позволяет администраторам создавать файлы баз данных за пределами предназначенных для этого директорий сервера Fuseki через административный интерфейс. Проблема заключается в нарушении механизмов изоляции, которые должны ограничивать операции с файлами строго заданным пространством. В результате злоумышленник с правами администратора может записывать файлы в системные каталоги, что угрожает стабильности и безопасности сервера.
Вторая уязвимость, зарегистрированная под номером CVE-2025-50151, связана с недостаточной проверкой путей доступа к файлам в конфигурациях, загружаемых администраторами. Система не ограничивает указанные пути должным образом, что позволяет ссылаться на файлы в любом месте хостовой системы, а не только в разрешенных директориях приложения. Это создает условия для несанкционированного доступа к конфиденциальной информации или критически важным системным файлам.
Обе уязвимости затрагивают механизмы обработки файлов в сервере Fuseki и были обнаружены независимыми исследователями. В частности, CVE-2025-49656 была выявлена Нориаки Ивасаки из Cyber Defense Institute, Inc. Процесс раскрытия информации и выпуска исправлений координировался командой Apache Software Foundation, включая Энди Сиборна.
Хотя для эксплуатации этих уязвимостей требуется наличие прав администратора, они представляют серьезную угрозу, особенно в средах с множеством пользователей или в случаях, когда учетные записи администраторов могут быть скомпрометированы. Злоумышленник, получивший контроль над административными функциями, может использовать эти уязвимости для кражи данных, повреждения системы или организации атак типа «отказ в обслуживании».
Рекомендуемое решение - немедленное обновление до версии Apache Jena 5.5.0, в которой устранены обе уязвимости. Новый релиз включает исправления, связанные с проверкой путей в загружаемых конфигурациях и ограничением операций создания файлов только разрешенными директориями Fuseki.
Если немедленное обновление невозможно, администраторам следует временно ограничить доступ к управляющим функциям, усилить мониторинг активности файловой системы в окружении Jena и внедрить дополнительные механизмы контроля доступа. Это поможет снизить вероятность успешной эксплуатации уязвимостей до момента установки обновлений.
Apache Jena широко используется в корпоративных и научных средах для обработки семантических данных, хранения RDF-графов и работы с онтологиями. Поэтому своевременное устранение обнаруженных проблем критически важно для обеспечения безопасности инфраструктур, полагающихся на этот фреймворк. Компаниям, использующим уязвимые версии, следует как можно скорее принять меры по обновлению и усилению защиты своих систем.
Ссылки
- https://lists.apache.org/thread/qmm21som8zct813vx6dfd1phnfro6mwq
- https://nvd.nist.gov/vuln/detail/CVE-2025-49656
- https://nvd.nist.gov/vuln/detail/CVE-2025-50151
- https://www.cve.org/CVERecord?id=CVE-2025-49656
- https://www.cve.org/CVERecord?id=CVE-2025-50151
