В популярной системе управления содержимым Apache Jackrabbit обнаружена критическая уязвимость, позволяющая злоумышленникам выполнять произвольный код на атакуемых серверах. Проблема, получившая идентификатор CVE-2025-58782, затрагивает версии Apache Jackrabbit Core и JCR Commons с 1.0.0 по 2.22.1 и имеет уровень серьезности "важная".
Детали узявимости
Уязвимость связана с десериализацией непроверенных данных в процессах JNDI-поиска репозиториев. Как пояснили исследователи безопасности, атака становится возможной при использовании JndiRepositoryFactory для поиска JCR в сочетании с принятием непроверенных входных данных для установления соединений с репозиторием. Злоумышленники могут внедрить специально созданные JNDI-ссылки, содержащие вредоносные нагрузки, которые впоследствии десериализуются уязвимым компонентом.
Марсель Ройтеггер, один из основных разработчиков Apache Jackrabbit, подтвердил наличие уязвимости в официальном уведомлении. Он подчеркнул, что организации, использующие устаревшие версии программного обеспечения, должны принять немедленные меры. Успешная эксплуатация уязвимости позволяет атакующим получить удаленный доступ к серверам, выполнять произвольные команды и устанавливать бэкдоры для сохранения контроля над системами.
Особую опасность эта уязвимость представляет для компаний, использующих Jackrabbit для управления содержимым, корпоративного поиска и хранения документов. Учитывая широкое распространение системы в корпоративных приложениях, масштабы потенциального воздействия могут быть значительными. Эксперты предупреждают, что уязвимость может быть использована в автоматизированных атаках, делая непропатченные системы легкими мишенями.
Фонд Apache Software Foundation рекомендует пользователям обновиться до версии 2.22.2, в которой JNDI-поиск по умолчанию отключен. Для тех, кто не может немедленно выполнить обновление, рекомендуется отключить JNDI-поиск для JCR-соединений вручную. Пользователям, которым эта функциональность необходима, следует явно включить ее после тщательной проверки конфигураций.
Кроме того, организациям следует отслеживать свои системы на предмет подозрительных JNDI-соединений и проводить аудит всех URI, получаемых из внешних источников. Уязвимость уже устранена в рамках исправления, отслеживаемого под номером JCR-5135. Джеймс Джон, сообщивший об проблеме, был упомянут в благодарностях в уведомлении.
Подробная информация об уязвимости и рекомендации по безопасности доступны на официальном сайте Apache Jackrabbit. С учетом активных угроз в дикой природе, быстрое реагирование становится критически важным для предотвращения эксплуатации этой уязвимости.
