Yaygın olarak kullanılan bir içerik deposu sistemi olan Apache Jackrabbit’te yeni bir güvenlik kusuru keşfedildi ve potansiyel olarak binlerce uygulamayı uzaktan kod yürütme (RCE) risklerine maruz bıraktı.
CVE-2025-58782 olarak izlenen güvenlik açığı, hem Apache Jackrabbit Core hem de Apache Jackrabbit JCR Commons’ı, önemi önemli olarak derecelendirir.
Sorun, JNDI tabanlı depo aramaları içindeki güvenilmeyen verilerin düzensizleştirilmesinden kaynaklanmaktadır. Saldırganlar, uygulamalar depo bağlantıları için güvenilmeyen girdileri kabul ettiğinde kötü niyetli JNDI referansları enjekte ederek bunu kullanabilir.
Tetiklendikten sonra, kusur saldırganların hedef sistemde keyfi kod yürütmesine izin vererek hassas verileri ve sistem kararlılığını tehlikeye atabilir.
Güvenlik Açığı Detayları
Güvenlik araştırmacıları, JCR Arama için JNDirepositoryFactory’ye dayanan konuşlandırmaların özellikle risk altında olduğunu ortaya koydu.
Kötü niyetli bir JNDI URI hazırlayarak, bir saldırgan zararlı yükler dikebilir. Bu yükler daha sonra savunmasız bileşen tarafından çeyizleştirilir ve uzaktan sömürüye kapıyı açar.
CVE kimliği | Bileşen | Etkilenen sürümler | Şiddet | Güvenlik açığı türü |
CVE-2025-58782 | Apache Jackrabbit Core, JCR Commons | 1.0.0 ila 2.22.1 | Önemli | Güvenilmeyen verilerin JNDI enjeksiyonu yoluyla serileştirilmesi |
Çekirdek Apache Jackrabbit katkısı olan Marcel Reutegger, kamu danışmanındaki kusurları doğruladı ve eski sürümleri kullanan kuruluşların hemen hareket etmesi gerektiğini vurguladı. Sorun, hem Jackrabbit Core hem de JCR Commons’un 1.0.0 ila 2.22.1 sürümlerini etkiler.
Apache Software Foundation, JNDI aramasının varsayılan olarak devre dışı bırakıldığı 2.22.2 sürümüne yükseltilmeyi önerdi.
Hala özelliğe ihtiyaç duyan kullanıcılar, açıkça etkinleştirmeli ve yapılandırmalarını gözden geçirmeye şiddetle teşvik edilmelidir.
Başarılı bir şekilde sömürülürse, saldırganlar savunmasız sunuculara uzaktan erişim sağlayabilir, keyfi komutlar yürütebilir veya kalıcı kontrol için bitki sırtları olabilir.
Bu, içerik yönetimi, kurumsal arama veya belge depolama için Jackrabbit’e güvenen kuruluşlar için kusurları özellikle tehlikeli hale getirir.
Güvenlik açığı otomatik saldırılarda silahlandırılabilir, bu da eşleştirilmemiş sistemleri kolay hedefler haline getirebilir. Jackrabbit, kurumsal sınıf uygulamalarında sıklıkla kullanıldığından, maruz kalma ölçeği önemli olabilir.
Güvenlik uzmanları, yöneticileri gecikmeden Jackrabbit 2.22.2’ye yükseltmeye şiddetle teşvik eder. Hemen yükseltilemeyenler için JCR bağlantıları için JNDI aramalarını devre dışı bırakmanız önerilir.
Ayrıca, kuruluşlar şüpheli JNDI tabanlı bağlantılar için sistemlerini izlemeli ve harici olarak sağlanan tüm URI’leri denetlemelidir.
Bu güvenlik açığı JCR-5135 dahili hata izleme kodu atandı ve düzeltme zaten yayınlandı.
Sorunu bildiren James John, danışmanlıkta kredilendirildi. Referanslar ve güvenlik ayrıntıları Apache Jackrabbit’in resmi web sitesinde ve CVE veritabanında sunulmuştur.
Vahşi doğada aktif tehditlerle, bu güvenlik kusurunun kullanılmasını önlemek için hızlı eylem kritiktir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.