2025年9月、HubSpotのCMS テンプレートエンジン「Jinjava」に、CVSS 9.8(Critical)の脆弱性 CVE-2025-59340 が判明しました。サンドボックス制限をJavaTypeベースのデシリアライズで回避でき、任意クラスのインスタンス化→任意ファイル読取やSSRF→環境次第でリモートコード実行(RCE)に連鎖し得る問題です。影響はJinjava < 2.8.1、修正版は2.8.1です。HubSpotは直ちにアップグレードするようアドバイザリで強く推奨しています。
影響バージョン
2.8.0以前
修正バージョン
2.8.1以上
脆弱性の概要
この脆弱性はJinjavaを組み込むHubSpot CMS上のサイトや独自導入環境へ影響します。
HubSpot CMSは数千サイト・月間数億ビュー規模でテンプレート処理を担っているため、ビジネス影響が広範に及ぶ可能性があります。その為利用者は即時アップデートをお勧めします。
Jinjavaは、危険メソッド(例:getClass())や Class の直接操作を禁止するなどのサンドボックスを備えていますが、テンプレートから到達可能な内部オブジェクト経由でObjectMapperを操作し、TypeFactory#constructFromCanonical() で指定した JavaType により攻撃者制御の入力を任意クラスへデシリアライズできてしまいます。
その結果、サンドボックス外の機能(例:java.net.URL)を実体化し、任意ファイル読取(例:/etc/passwd)や読み取り型SSRFが成立、さらにクラス連鎖次第でRCEに至る可能性があります。実際にJinjava 2.8.0で動作する概念実証(PoC)が確認されており、理論上の欠陥に留まりません。








