JVNDB-2025-023510

 HaulmontのCUBA Platform等の複数製品におけるクロスサイトスクリプティングの脆弱性

JmixはSpring Bootによるデータ中心アプリケーション開発を加速するためのライブラリとツールのセットです。バージョン1.0.0から1.6.1、および2.0.0から2.3.4までのバージョンでは、ファイルパスとファイル名として入力されたパラメータを操作することで、ファイル名が.htmlで終わる場合、Content-Typeヘッダーがtext/htmlとして返されます。その結果、悪意のあるJavaScriptコードがブラウザで実行される可能性があります。攻撃を成功させるためには、事前に不正なファイルをアップロードする必要があります。この問題はバージョン1.6.2および2.4.0で修正されました。Jmixドキュメントサイトに回避策が掲載されています。

Haulmont

• CUBA Platform 6.2.0 以上 7.2.23 未満
• CUBA REST API 7.1.1 以上 7.2.7 未満
• Jmix Framework 1.0.0 以上 1.6.2 未満
• Jmix Framework 2.0.0 以上 2.4.0 未満
• JPA Web API 1.0.0 以上 1.1.1 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : XSS in the /files Endpoint of the Generic REST API  Advisory  jmix-framework/jmix  GitHub

Jmix

• Jmix Documentation : Files Functionality Vulnerabilities :: Jmix Documentation (files-vulnerabilities.html)
• Jmix Documentation : Files Functionality Vulnerabilities :: Jmix Documentation (files-vulnerabilities.html#disable-files-endpoint-in-jmix-application)

1. クロスサイトスクリプティング(CWE-79) [その他]

1. CVE-2025-32951

1. National Vulnerability Database (NVD) : CVE-2025-32951
2. 関連文書 : Security vulnerabilities in rest files endpoint #3804  jmix-framework/jmix@c589ef4  GitHub
3. 関連文書 : Security vulnerabilities in REST files endpoint  Issue #3804  jmix-framework/jmix
4. 関連文書 : Security vulnerabilities in rest files endpoint #3804  jmix-framework/jmix@cc97e6f  GitHub
5. 関連文書 : Backport REST files fixes to 1.6 #3836  jmix-framework/jmix@f4e6fb0  GitHub
6. 関連文書 : Backport REST files fixes to 1.6 #3836  jmix-framework/jmix@6a66aa3  GitHub
7. 関連文書 : Backport REST files fixes to 1.6  Issue #3836  jmix-framework/jmix

• [2026年01月06日]
    掲載