Apache Causeway でクリティカルな脆弱性(CVE-2025-64408)

セキュリティニュース

投稿日時: 更新日時:

Apache Causeway でクリティカルな脆弱性(CVE-2025-64408)

開発効率の高いドメイン駆動型Javaフレームワーク Apache Causeway に、認証済みユーザーが任意コード実行(RCE)に到達し得るクリティカルな脆弱性(CVE-2025-64408) が見つかりました。脆弱性は 2.0.0〜3.4.0 のすべての系統と、最新系の 4.0.0-M1 に影響し、3.5.0 で修正されています。

影響を受けるバージョン

  • 2.0.0 → 3.4.0
  • 4.0.0-M1(2025年10月13日公開のマイルストーン版)

    修正バージョン

    • 3.5.0(本脆弱性を完全修正)

    脆弱性の概要

    Apache Causewayに、認証済みユーザーがViewModelの状態をURL等に埋め込んだシリアライズ済みデータを悪用し、アプリ側でのJavaデシリアライズ処理を介して任意コード実行(RCE)に至るクリティカルな脆弱性(CVE-2025-64408)が存在します。対象は2.0.0〜3.4.0および4.0.0-M1で、ユーザー制御のシリアライズデータが復元される過程で“ガジェットチェーン”が作動し、アプリケーション権限でコード実行・データ窃取・横展開が可能となります

    (前提は認証後)。本件は3.5.0で修正されています。