Apache Commons Text: Kritische Lücke in älterer Version der Bibliothek

In der „Apache Commons Text“-Bibliothek haben Entwickler eine Sicherheitslücke entdeckt. Sie ermöglicht Angreifern, Schadcode aus dem Netz einzuschleusen und auszuführen. Ein Update steht bereits sehr lange zur Verfügung – die Komponente wurde jedoch offenbar in einigen Software-Projekten noch immer nicht aktualisiert.

Die Schwachstellenbeschreibung erörtert, dass vor der Version 1.10.0 Interpolationsfunktionen in Apache Commons Text enthalten waren, die sich missbrauchen lassen, wenn Anwendungen nicht vertrauenswürdige Eingaben an die Text-Substitutions-API durchgereicht haben. Da einige Interpolatoren Aktionen wie das Ausführen von Befehlen oder den Zugriff auf externe Ressourcen auslösen könnten, erlaubt das Angreifern unter Umständen, Schadcode aus dem Netz einzuschleusen und auszuführen (CVE-2025-46295, CVSS 9.8, Risiko „kritisch“).

Das erinnert an eine Schwachstelle in Apache Commons Text, die das Projekt bereits Ende 2022 ausgebessert hat – mit derselben Version, die bereits die nun entdeckte Sicherheitslücke schließt, Apache Commons Text 1.10.0. Die Schwachstelle damals erinnerte bereits an das Log4j-Desaster aus dem Jahr 2021, wie auch die jetzt gemeldete Sicherheitslücke.

Anfällige Bibliothek in anderen Softwarepaketen

Aufgefallen ist das einem „anonymen IT-Forscher“, der das Problem im FileMaker Server entdeckt hat. Laut Sicherheitsmitteilung vom Hersteller Claris haben die Entwickler die Apache-Commons-Text-Bibliothek auf den Stand 1.14.0 gebracht und das in FileMaker Server 22.0.4 einfließen lassen.

Wer die Bibliothek „Apache Commons Text“ einsetzt, sollte sicherstellen, mindestens die Version 1.10.0 einzusetzen. Besser ist jedoch, etwa den aktuellen Stand 1.15.0 vom Anfang Dezember 2025 einzusetzen. Das Projekt stellt sowohl Binärdateien als auch Quellcodes auf der Apache-Webseite zum Herunterladen bereit, mit denen IT-Verantwortliche das erledigen können.

(dmk)