Вот билет на контент, на эксплойт билетов нет
В популярной спецификации Java Content Repository (JCR) с открытым исходным кодом Apache Jackrabbit, которая применяется в корпоративных CRM и системах управления контента, обнаружена, а теперь и устранена разработчиками критическая уязвимость, позволявшая злоумышленникам фактически «проехать зайцем» в самые важные корпоративные данные.
Ирина Дмитриева, эксперт в области кибербезопасности и инженер-аналитик компании «Газинформсервис», отметила, что популярность Jackrabbit оправдана широким функционалом, включая хранение структурированного и неструктурированного контента, полнотекстовый поиск, управление версиями и транзакциями. Тем опаснее оказалась критическая брешь CVE-2025-53689, затрагивающая компоненты jackrabbit-spi-commons и jackrabbit-core, подвергая организации риску слепых XXE-атак.
«Оправдана угроза XML External Entity некорректным парсингом XML: при загрузке привилегий используется незащищённая сборка документа. Риск зашкаливает там, где принимают XML-данные от пользователей – это не теоретическая, а прямая угроза, приводящая к инциденту. Именно так злоумышленник, способный подсунуть свой XML через REST API, импорт в CMS или автоматизированный воркфлоу, может незаметно скомпрометировать файлы в системе, провести SSRF-атаку, задействуя сервер как прокси для атаки на внутренние системы, а также провести успешную DoS-атаку», — подчеркнула эксперт.
Компания Apache оперативно отреагировала и призывает всех пользователей немедленно обновиться до последних исправленных версий в зависимости от используемой среды Java: до версии 2.20.17 (для Java 8), до версии 2.22.1 (для Java 11), до версии 2.23.2-beta (для Java 11 бета).
Для борьбы с XXE-уязвимостями в Jackrabbit, да и в целом с подобными угрозами, Ирина Дмитриева рекомендует централизованный и проактивный подход: «Первостепенно уязвимые версии нужно идентифицировать в лицо и понимать их общее число в инфраструктуре. Автоматизированные сканеры инфраструктуры – первый обязательный инструмент. Дополнительно рекомендуется интегрировать сканирование на уязвимости непрерывно в CI/CD и в работающую инфраструктуру и искать не только по CVE, но и по названию компонента и версиям. Всё это формирует потребность в постоянном мониторинге инфраструктуры на появление запрещённых или уязвимых версий ПО. Efros DefOps от компании "Газинформсервис" бьёт точно в цель, агрегируя данные из разных источников в единую картину, включая версии ПО и зависимости. DefOps — движущая сила для построения практики управления уязвимостями и версиями ПО на уровне всего стека разработки и эксплуатации систем».