在 Apache Jackrabbit 中发现了一个重要的安全漏洞，Apache Jackrabbit 是一种用于企业内容管理系统和 Web 应用程序的流行开源内容存储库。

该缺陷可能允许未经身份验证的攻击者在运行易受攻击版本的服务器上实现任意代码执行 （RCE），从而对系统安全和数据机密性构成严重风险。

该漏洞被跟踪为 JCR-5135，被归类为“不受信任的数据的反序列化”问题。它取决于某些 Apache Jackrabbit 组件如何处理 Java 命名和目录接口 （JNDI） 查找。

具体而言，如果部署配置为接受来自不受信任或面向公众的源的 Java Content Repository （JCR） 查找的 JNDI URI，则攻击者可以利用此途径。

通过提交特制的恶意 JNDI 引用，攻击者可以诱骗应用程序处理它。

此作会触发来自攻击者控制源的不受信任的数据的反序列化，这可能导致在具有应用程序权限的底层服务器上执行任意命令。

成功的漏洞利用可能允许攻击者安装恶意软件、窃取敏感数据或完全控制受影响的系统。安全研究员 James John 报告了这个问题。

受影响的版本

该漏洞很普遍，影响了该项目两个基础组件二十多年来的发布。运行以下版本的所有用户都被视为面临风险，应立即检查其系统。

• Apache Jackrabbit Core （org.apache.jackrabbit：jackrabbit-core）：版本 1.0.0 到 2.22.1
• Apache Jackrabbit JCR Commons （org.apache.jackrabbit：jackrabbit-jcr-commons）：版本 1.0.0 到 2.22.1

缓解措施和建议

为了解决这一重大安全风险，Apache Jackrabbit 项目团队发布了一个补丁。强烈建议管理员将所有受影响的部署升级到版本 2.22.2 或更高版本。

新版本中的主要安全修复是默认禁用通过JNDI进行的JCR查找，这会关闭大多数用户的攻击媒介。

对于那些需要此特定功能进行作的用户，现在必须通过系统属性显式启用它。

开发人员建议，任何重新启用此功能的人都必须对其使用进行仔细的安全审查，确保没有未经验证的用户提供的数据会影响正在处理的 JNDI URI。

应用更新是缓解威胁的最有效方法。