つみかさね

CVE-2026-40682

Critical(9.1)

CVE-2026-40682 — Apache OpenNLP XXE脆弱性(辞書パーサー)

公開日: 2026-05-06データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Apache OpenNLPThe Apache Software Foundation< 2.5.9
Apache OpenNLPThe Apache Software Foundation< 3.0.0-M3

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Apache OpenNLPを利用しているか確認する
  2. 2利用バージョンが2.5.9未満または3.0.0-M3未満であるか確認する
  3. 32.x系は2.5.9に、3.x系は3.0.0-M3にアップグレードする
  4. 4信頼できない辞書ファイルの読み込みを制限する

影響対象

Apache OpenNLP利用者自然言語処理システム運用者

補足

  • -CVE-2026-42027と同時に修正されたため、合わせてアップグレードすること
CVEApacheOpenNLPXXEXML外部エンティティ

概要

Apache OpenNLPにおいて、DictionaryEntryPersistorクラスの辞書パース処理にXML外部エンティティ(XXE)の脆弱性(CWE-611)が存在します。DictionaryEntryPersistorクラスは、静的なSAXParserFactoryの初期化時に FEATURE_SECURE_PROCESSING を有効化していないため、XML外部エンティティの処理が可能な状態になっています。

攻撃者がこの脆弱性を悪用し、悪意のあるXML辞書ファイルを読み込ませることで、サーバー上のファイル読み取りやSSRF(Server-Side Request Forgery)などの攻撃を行える可能性があります。

CVSSベクトル

項目
CVSSスコア9.1(Critical)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要
ユーザー関与不要
CWECWE-611(XML外部エンティティ参照の不適切な制限)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Apache OpenNLPThe Apache Software Foundation2.5.9 より前
Apache OpenNLPThe Apache Software Foundation3.0.0-M3 より前

修正バージョンと回避策

  • Apache OpenNLP 2.5.9 にアップグレードしてください(2.x系の修正済みバージョン)
  • Apache OpenNLP 3.0.0-M3 にアップグレードしてください(3.x系の修正済みバージョン)
  • 信頼できない辞書ファイル(XMLファイル)を読み込まないようにしてください
  • 外部から取得した辞書ファイルの内容を事前に検証してください

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-42027Apache OpenNLP ExtensionLoader 任意クラスインスタンス化CVSS 9.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-40682
Apache:https://lists.apache.org/thread/r6jpt0qr9nj67gqhppqg7jxf8vsbo0w6
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。