はじめに

Apache Commons Text ライブラリに、リモートコード実行（RCE）を可能にする重大な脆弱性（CVE-2025-46295）が発見されました。この脆弱性は、バージョン1.10.0より前の全てのバージョンに影響を与え、テキスト操作や処理に広く利用されているJavaライブラリのユーザーに深刻なセキュリティリスクをもたらします。

脆弱性の詳細

この脆弱性は、Apache Commons Textの補間機能に存在します。補間機能は、テキスト文字列内の変数や式を置換するために設計されています。しかし、研究者たちは、アプリケーションが信頼できない入力をテキスト置換APIに直接渡した場合、攻撃者が特定の補間機能を悪用して悪意のあるアクションをトリガーできることを発見しました。これにより、システムコマンドの実行や外部リソースへのアクセスが可能となり、影響を受けるシステム上で完全なリモートコード実行が可能になります。

この攻撃ベクトルは特に危険です。なぜなら、多くの開発者はユーザーが制御する入力をテキスト置換機能に渡すことのセキュリティ上の影響を認識していない可能性があるからです。ユーザー入力を受け入れ、脆弱な補間方法を介して処理するアプリケーションは、直ちに悪用の標的となります。攻撃者は、Apache Commons Textを実行しているアプリケーションの権限で任意のコマンドを実行する補間式を含む、特別に細工された入力文字列を作成する可能性があります。

推奨される対策

影響を受けるバージョンのApache Commons Textを使用している組織は、直ちにパッチを適用することを強く推奨します。Apacheは、危険な補間機能を削除または制限することでこの脆弱性に対処したバージョン1.14.0をリリースしました。FileMaker Serverのユーザーは、パッチ適用済みのApache Commons Text 1.14.0を含むバージョン22.0.4以降にアップグレードすることで保護を確保できます。

システム管理者は、Apache Commons Textを利用するすべてのアプリケーションおよびサービスをバージョン1.14.0以降に更新することを最優先事項としなければなりません。また、組織は、信頼できない入力がテキスト補間機能を通じて処理されている箇所を特定するために、自社のアプリケーションを監査する必要があります。複数のFileMaker展開を管理している企業は、セキュリティ体制を維持するために、バージョン22.0.4以降へのアップグレードを直ちに計画すべきです。

セキュリティ業界への影響と教訓

この脆弱性は、匿名のセキュリティ研究者によって責任を持って開示されたため、開発者は広範な悪用が発生する前にパッチを準備する十分な時間を確保できました。この発見は、一般的に使用されるコンポーネントの脆弱性が業界全体の数千のアプリケーションに影響を与える可能性があるため、サードパーティライブラリのセキュリティ上の欠陥を詳細に調査し続けることの重要性を浮き彫りにしています。

元記事: https://gbhackers.com/critical-apache-commons-text-flaw-lets-hackers-execute-remote-code/