JVNDB-2026-006913

Machinery For Change, Inc.のmchange-commons-javaにおけるインジェクションに関する脆弱性

mchange-commons-javaはJavaのユーティリティを提供するライブラリであり、JNDI機能の初期実装を模倣したコードを含んでいます。この中にはリモートの`factoryClassLocation`値をサポートする機能があり、これによって実行中のアプリケーション内でコードをダウンロードして呼び出すことが可能です。攻撃者が悪意のある細工を施した`javax.naming.Reference`またはシリアライズされたオブジェクトをアプリケーションに読み込ませると、悪意のあるコードのダウンロードと実行が引き起こされます。JDK内のこの機能の実装はデフォルトで`false`に設定されているシステムプロパティ`com.sun.jndi.ldap.object.trustURLCodebase`によって無効化されています。しかしmchange-commons-javaはJNDIの参照解決を独自に実装しているため、その実装を通じて参照を解決するc3p0などのライブラリは、JDKが強化された後でも悪意のあるコードのダウンロードと実行が発生する可能性があります。JDKの修正を反映し、mchange-commons-javaのJNDI機能はバージョン0.4.0以降、制限的なデフォルト値の構成パラメータによって制御されています。既知の回避策は存在しません。0.4.0より前のバージョンはアプリケーションクラスパス上での使用を避けるべきです。

Machinery For Change, Inc.

• mchange-commons-java 0.4.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : mchange-commons-java prior to v0.4.0 can be dangerously abused to download and execute malicious code  Advisory  swaldman/mchange-commons-java  GitHub

MOGWAI LABS GmbH

• MOGWAI LABS : c3p0, you little rascal| MOGWAI LABS

1. インジェクション(CWE-74) [その他]

1. CVE-2026-27727

1. National Vulnerability Database (NVD) : CVE-2026-27727
2. 関連文書 : c3p0-v0.12.0 - JDBC3 Connection and Statement Pooling - Documentation (https://www.mchange.com/projects/c3p0/#security-note)
3. 関連文書 : c3p0-v0.12.0 - JDBC3 Connection and Statement Pooling - Documentation (https://www.mchange.com/projects/c3p0/#configuring_security)

• [2026年03月16日]
    掲載