Apache Jackrabbit最新漏洞可导致JNDI注入与远程代码执行

漏洞概况

Apache软件基金会近日披露了Apache Jackrabbit Core和JCR Commons组件中的一个重要漏洞（编号CVE-2025-58782）。该漏洞影响1.0.0至2.22.1版本，当系统使用JndiRepositoryFactory时，可能引发JNDI（Java命名和目录接口）注入风险。

技术细节

根据官方邮件列表披露："接受来自不可信用户的JNDI URI进行JCR查找的部署环境，可能允许攻击者注入恶意JNDI引用，通过反序列化不可信数据最终导致任意代码执行。"

漏洞根源在于JCR存储库查找过程中对JNDI URI的处理机制。攻击者通过提供恶意JNDI引用，可触发不可信数据的反序列化操作——这是实现远程代码执行（RCE）的常见途径。

受影响组件包括：

• org.apache.jackrabbit:jackrabbit-core（1.0.0–2.22.1）
• org.apache.jackrabbit:jackrabbit-jcr-commons（1.0.0–2.22.1）

潜在危害

JNDI注入漏洞因其能将查找机制与对象反序列化相连接而臭名昭著，可能导致：

• 远程代码执行：攻击者可运行任意系统命令
• 数据泄露：恶意JNDI端点可能泄露敏感存储库内容
• 服务中断：漏洞利用可能导致基于Jackrabbit的应用崩溃

考虑到Jackrabbit广泛应用于企业内容管理(ECM)、网络内容系统和数字体验平台，该漏洞可能对关键业务环境造成连锁影响。

修复建议

用户应立即升级至2.22.2版本。该版本已默认禁用通过JNDI的JCR查找功能。如需使用此功能的用户需手动启用，并建议严格审查JNDI URI在JCR查找中的使用情况。