Скрытая бомба в корпоративных хранилищах: Apache Jackrabbit выдаёт злоумышленникам полный контроль

Apache Jackrabbit JCR Commons CVE-2025-58782 JCR-5135 JNDI RCE уязвимость
Скрытая бомба в корпоративных хранилищах: Apache Jackrabbit выдаёт злоумышленникам полный контроль
Apache Jackrabbit JCR Commons CVE-2025-58782 JCR-5135 JNDI RCE уязвимость

Миллионы серверов оказались беззащитными перед новой угрозой.

image

В Apache Jackrabbit выявлена опасная уязвимость , которая способна обернуться удалённым выполнением произвольного кода и компрометацией корпоративных систем. Проблема зарегистрирована как CVE-2025-58782 и затрагивает сразу два ключевых компонента — Jackrabbit Core и JCR Commons. Ошибка присутствует во всех версиях от 1.0.0 до 2.22.1 и признана важной по уровню серьёзности.

Суть проблемы заключается в небезопасной десериализации данных при использовании JNDI-запросов в JCR-хранилищах. Если приложение принимает внешние параметры для подключения к репозиторию, атакующий может внедрить вредоносный JNDI-адрес. После этого уязвимый компонент интерпретирует закодированный в ссылке объект, что даёт киберпреступнику возможность запускать произвольные команды на сервере. Такой сценарий открывает путь к краже информации, установке бэкдоров или полному захвату управления инфраструктурой.

Особенно уязвимы развёртывания, где используется JndiRepositoryFactory для поиска JCR-репозиториев. Именно там подставленный URI позволяет доставить вредоносную нагрузку, которая затем обрабатывается системой без должной проверки. Из-за автоматической десериализации эксплуатации не мешают встроенные механизмы безопасности, а потенциальный вред напрямую зависит от уровня прав, с которыми работает процесс Jackrabbit.

Один из ведущих разработчиков проекта, Марсель Ройтеггер, подтвердил наличие ошибки и призвал администраторов немедленно обновиться. Исправление включено в релиз 2.22.2, где JNDI-запросы по умолчанию отключены. Для тех, кому функционал необходим, придётся включать его вручную, внимательно проверяя все настройки. Тем, кто не может оперативно перейти на новую версию, рекомендуется хотя бы деактивировать JNDI-поиск и следить за подозрительными соединениями, связанными с внешними URI.

Опасность в том, что подобная дыра может быть автоматизирована в эксплойтах, что превратит незащищённые серверы в лёгкую мишень. Apache Jackrabbit широко применяется для управления контентом, корпоративного поиска и хранения документов, поэтому масштаб возможных атак оценивается как значительный. Внутри проекта ошибка зафиксирована под номером JCR-5135, а информацию о ней опубликовали в официальной базе Apache и в CVE -каталоге. Сообщил о проблеме исследователь Джеймс Джон, которому в бюллетене выражена благодарность.

Специалисты предупреждают: с учётом уже зафиксированных попыток эксплуатации медлить с обновлением крайне рискованно. Своевременный переход на версию 2.22.2 или отключение небезопасных механизмов могут стать единственным барьером между корпоративными данными и атакующими.