关键信息 漏洞编号 CVE-2025-58782 影响的组件 Apache Jackrabbit Core Apache Jackrabbit JCR Commons 影响的版本 Apache Jackrabbit Core (org.apache.jackrabbit:jackrabbit-core) 1.0.0 到 2.22.1 Apache Jackrabbit JCR Commons (org.apache.jackrabbit:jackrabbit-jcr-commons) 1.0.0 到 2.22.1 严重性 重要 描述 Apache Jackrabbit Core 和 Apache Jackrabbit JCR Commons 存在未受信任数据反序列化漏洞。 该问题影响: Apache Jackrabbit Core:从 1.0.0 到 2.22.1 Apache Jackrabbit JCR Commons:从 1.0.0 到 2.22.1 接受来自不受信任用户的 JNDI URI 进行 JCR 查找的部署允许他们注入恶意 JNDI 引用,可能导致通过未受信任数据的反序列化执行任意代码。 建议措施 用户建议升级到版本 2.22.2。JCR 通过 JNDI 的查找在 2.22.2 中默认已禁用。需要启用此功能的用户应明确启用并审查其对 JNDI URI 进行 JCR 查找的使用。 跟踪编号 JCR-5135 报告者 James John 参考链接 https://jackrabbit.apache.org/ https://www.cve.org/CVERecord?id=CVE-2025-58782 https://issues.apache.org/jira/browse/JCR-5135