Ένα νέο ελάττωμα ασφαλείας που αποκαλύφθηκε στο Apache Commons Text, που παρακολουθείται ως CVE-2025-46295, έχει αναγνωριστεί ως ευπάθεια απομακρυσμένης εκτέλεσης κώδικα (RCE).
Αυτό θα μπορούσε να επιτρέψει στους εισβολείς να παραβιάσουν συστήματα χρησιμοποιώντας ευάλωτες εκδόσεις της βιβλιοθήκης. Το ζήτημα επηρεάζει τις εκδόσεις κειμένου Apache Commons πριν από την 1.10.0, οι οποίες περιέχουν μη ασφαλείς δυνατότητες παρεμβολής.
Αυτό μπορεί να γίνει αντικείμενο εκμετάλλευσης όταν οι εφαρμογές επεξεργάζονται μη αξιόπιστες εισαγωγές χρηστών. Το Apache Commons Text είναι μια ευρέως χρησιμοποιούμενη βιβλιοθήκη Java για χειρισμό συμβολοσειρών και αντικατάσταση κειμένου.
Μη ασφαλείς λειτουργίες παρεμβολής
Η ευπάθεια προέρχεται από τον μηχανισμό παρεμβολής της βιβλιοθήκης, ο οποίος μπορεί να αξιολογήσει εκφράσεις ή να παραπέμψει δυναμικά σε εξωτερικές πηγές δεδομένων.
Εάν μια εφαρμογή περιλαμβάνει δεδομένα ελεγχόμενα από τον χρήστη στο API αντικατάστασης κειμένου, οι εισβολείς θα μπορούσαν να δημιουργήσουν κακόβουλα ωφέλιμα φορτία για να ενεργοποιήσουν αυθαίρετη εκτέλεση κώδικα ή να αλληλεπιδράσουν με απομακρυσμένους πόρους.
Σύμφωνα με τις συμβουλευτικές λεπτομέρειες της Claris, αυτό το ελάττωμα έχει ήδη αντιμετωπιστεί με την αναβάθμιση του Apache Commons Text σε ασφαλή έκδοση.
| Σειρά | Καθέκαστα |
|---|---|
| Αναγνωριστικό CVE | CVE-2025-46295 |
| Τύπος ευπάθειας | Απομακρυσμένη εκτέλεση κώδικα (RCE) |
| Περιγραφή | Ευπάθεια στο Apache Commons Text που επιτρέπει την εκτέλεση αυθαίρετου κώδικα μέσω μη αξιόπιστης εισαγωγής στην παρεμβολή κειμένου. |
| Εκδόσεις που επηρεάζονται | Εκδόσεις κειμένου Apache Commons πριν από την 1.10.0 |
| Επηρεασμένο προϊόν | FileMaker Server 2025 |
Ο διακομιστής FileMaker, ο οποίος ενσωματώνει αυτό το στοιχείο, επιβεβαίωσε ότι το ζήτημα έχει μετριαστεί πλήρως στον διακομιστή FileMaker 22.0.4.
Η βιβλιοθήκη έχει ενημερωθεί στην έκδοση 1.14.0. Οι χρήστες που εκτελούν παλαιότερες εκδόσεις παραμένουν εκτεθειμένοι και θα πρέπει να δώσουν προτεραιότητα στην άμεση εφαρμογή των τελευταίων ενημερώσεων.
Η ανακάλυψη του CVE-2025-46295 υπογραμμίζει τους συνεχείς κινδύνους που ενέχουν οι μεταβατικές εξαρτήσεις στις σύγχρονες αλυσίδες εφοδιασμού λογισμικού.
Ακόμη και τα βοηθητικά προγράμματα που χρησιμοποιούνται έμμεσα σε μεγάλες εφαρμογές μπορούν να παρουσιάσουν σοβαρές αδυναμίες ασφάλειας εάν δεν συντηρούνται ή δεν ενημερώνονται τακτικά.
Οι οργανισμοί που εξαρτώνται από υπηρεσίες που βασίζονται σε Java θα πρέπει να επανεξετάσουν τα περιβάλλοντα κατασκευής τους. Εξαρτήσεις για την επαλήθευση ότι οι ευάλωτες εκδόσεις του Apache Commons Text δεν χρησιμοποιούνται πλέον.
Claris FileMaker αναγνώρισε και απέδωσε πιστώσεις σε έναν ανώνυμο ερευνητή για την υπεύθυνη αναφορά της ευπάθειας.
Η εταιρεία τονίζει ότι η διατήρηση των στοιχείων ενημερωμένα είναι κρίσιμης σημασίας για τη διατήρηση ασφαλών αναπτύξεων, ιδιαίτερα για περιβάλλοντα διακομιστή που εκτίθενται στο διαδίκτυο.
Οι ομάδες ασφαλείας καλούνται να εφαρμόσουν τη σταθερή έκδοση και να πραγματοποιήσουν σαρώσεις εξάρτησης σε όλα τα έργα για να αποτρέψουν πιθανή εκμετάλλευση αυτού του ελαττώματος RCE υψηλής σοβαρότητας.
