開発効率の高いドメイン駆動型Javaフレームワーク Apache Causeway に、認証済みユーザーが任意コード実行(RCE)に到達し得るクリティカルな脆弱性(CVE-2025-64408) が見つかりました。脆弱性は 2.0.0〜3.4.0 のすべての系統と、最新系の 4.0.0-M1 に影響し、3.5.0 で修正されています。
影響を受けるバージョン
- 2.0.0 → 3.4.0
- 4.0.0-M1(2025年10月13日公開のマイルストーン版)
-
修正バージョン
-
3.5.0(本脆弱性を完全修正)
脆弱性の概要
Apache Causewayに、認証済みユーザーがViewModelの状態をURL等に埋め込んだシリアライズ済みデータを悪用し、アプリ側でのJavaデシリアライズ処理を介して任意コード実行(RCE)に至るクリティカルな脆弱性(CVE-2025-64408)が存在します。対象は2.0.0〜3.4.0および4.0.0-M1で、ユーザー制御のシリアライズデータが復元される過程で“ガジェットチェーン”が作動し、アプリケーション権限でコード実行・データ窃取・横展開が可能となります
(前提は認証後)。本件は3.5.0で修正されています。








