HIGHCVE-2025-27553CVSS 7.5

Apache Commons VFS には相対パストラバーサル脆弱性があります

プラットフォーム

java

コンポーネント

org.apache.commons:commons-vfs2

修正版

2.10.0

AI Confidence: highNVDEPSS 0.8%レビュー済み: 2026年5月

NVDで見る

保存

Apache Commons VFSのバージョン2.9.0以前には、パス・トラバーサル脆弱性が存在します。この脆弱性は、resolveFileメソッドのscopeパラメータにNameScope.DESCENDENTを指定した場合に、相対パスにエンコードされた「..」が含まれると、例外をスローせずにベースファイルのサブファイルではないファイルオブジェクトを返す可能性があります。影響を受けるバージョンは2.9.0以前です。バージョン2.10.0へのアップグレードで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はファイルシステムの機密情報にアクセスしたり、不正なファイルを作成・変更したりする可能性があります。特に、Commons VFSがファイルシステムへのアクセスを許可されている環境では、攻撃の影響範囲が広がる可能性があります。エンコードされた「..」を含むパスを悪用することで、本来アクセスできないファイルに到達し、システムを侵害する可能性があります。類似の脆弱性は、ファイル操作APIの不適切な入力検証によって引き起こされることが多く、ファイルシステムのセキュリティを脅かす重大なリスクとなります。

悪用の状況

この脆弱性は、2025年3月23日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性であるため、悪用される可能性は否定できません。CISA KEVへの登録状況は不明です。攻撃者は、エンコードされた「..」を含むリクエストを送信することで、この脆弱性を悪用する可能性があります。

リスク対象者翻訳中…

Applications and services that utilize Apache Commons VFS for file handling are at risk, particularly those that accept user-supplied file paths without proper validation. This includes web applications, file servers, and data processing pipelines. Legacy systems relying on older versions of Commons VFS are especially vulnerable.

検出手順翻訳中…

• java / server:

find /path/to/your/app -name "commons-vfs2-*.jar" -print0 | xargs -0 jar -xf {} | grep -q 'resolveFile(String, NameScope)'

• generic web:

curl -I 'http://your-app/path/../sensitive_file.txt' # Check for directory traversal responses

攻撃タイムライン

2025-03-23Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.85% (75% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントorg.apache.commons:commons-vfs2

ベンダーosv

影響範囲修正版

0 – 2.10.02.10.0

—2.10.0

弱点分類 (CWE)

CWE-23

タイムライン

予約済み2025-03-01
公開日2025-03-23
更新日2025-04-03
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最も効果的な対策は、Apache Commons VFSをバージョン2.10.0にアップグレードすることです。アップグレードが一時的に利用できない場合は、入力検証を強化し、resolveFileメソッドに渡されるパスを厳密に検証することで、攻撃のリスクを軽減できます。また、Webアプリケーションファイアウォール（WAF）やプロキシサーバーを使用して、悪意のあるリクエストをブロックすることも有効です。ファイルシステムのアクセス権限を最小限に制限し、不要なファイルへのアクセスを禁止することも重要です。

修正方法翻訳中…

Actualice Apache Commons VFS a la versión 2.10.0 o superior. Esta versión corrige la vulnerabilidad de path traversal. Reemplace la versión anterior de la biblioteca por la nueva en su proyecto.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-27553 — パス・トラバーサルはApache Commons VFSで何ですか？

CVE-2025-27553は、Apache Commons VFSの2.9.0以前のバージョンにおける、相対パスにエンコードされた「..」が含まれる場合に、例外をスローせずにベースファイルのサブファイルではないファイルオブジェクトを返す脆弱性です。

CVE-2025-27553 — Apache Commons VFSで影響は受けますか？

Apache Commons VFSのバージョン2.9.0以前を使用している場合は、この脆弱性の影響を受ける可能性があります。バージョン2.10.0へのアップグレードを推奨します。

CVE-2025-27553 — Apache Commons VFSをどのように修正しますか？

Apache Commons VFSをバージョン2.10.0にアップグレードすることで、この脆弱性を修正できます。アップグレードが難しい場合は、入力検証を強化してください。

CVE-2025-27553 — 積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、悪用される可能性は否定できません。

CVE-2025-27553 — Apache Commons VFSの公式アドバイザリはどこで入手できますか？

Apache Commons VFSの公式アドバイザリは、Apacheのセキュリティページで確認できます。