つみかさね

CVE-2026-42027

Critical(9.8)

CVE-2026-42027 — Apache OpenNLP ExtensionLoader 任意クラスインスタンス化

公開日: 2026-05-06データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Apache OpenNLPThe Apache Software Foundation< 2.5.9
Apache OpenNLPThe Apache Software Foundation< 3.0.0-M3

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Apache OpenNLPを利用しているか確認する
  2. 2利用バージョンが2.5.9未満または3.0.0-M3未満であるか確認する
  3. 32.x系は2.5.9に、3.x系は3.0.0-M3にアップグレードする
  4. 4信頼できないモデルファイルの読み込みを制限する

影響対象

Apache OpenNLP利用者自然言語処理システム運用者

補足

  • -外部からモデルファイルを受け取る環境では即座にアップグレードを推奨
CVEApacheOpenNLP任意クラスインスタンス化RCE

概要

Apache OpenNLPにおいて、ExtensionLoaderのモデルマニフェスト処理に任意クラスインスタンス化(CWE-470)の脆弱性が存在します。ExtensionLoader.instantiateExtension メソッドは、完全修飾クラス名を Class.forName() で読み込み、引数なしコンストラクタを呼び出してインスタンスを生成します。

攻撃者が悪意のあるモデルマニフェストを作成することで、任意のクラスをインスタンス化し、リモートからコードを実行できる可能性があります。自然言語処理でOpenNLPを利用し、外部からモデルファイルを読み込んでいる環境では特に注意が必要です。

CVSSベクトル

項目
CVSSスコア9.8(Critical)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要
ユーザー関与不要
CWECWE-470(外部から制御されるクラスのインスタンス化)

影響を受けるソフトウェア

製品ベンダー影響バージョン
Apache OpenNLPThe Apache Software Foundation2.5.9 より前
Apache OpenNLPThe Apache Software Foundation3.0.0-M3 より前

修正バージョンと回避策

  • Apache OpenNLP 2.5.9 にアップグレードしてください(2.x系の修正済みバージョン)
  • Apache OpenNLP 3.0.0-M3 にアップグレードしてください(3.x系の修正済みバージョン)
  • 信頼できないモデルファイルを読み込まないようにしてください
  • 外部から取得したモデルファイルの整合性を検証してください

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-40682Apache OpenNLP XXE脆弱性CVSS 9.1

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42027
Apache:https://lists.apache.org/thread/ltlo4powjfc0w2w2yyl1o5tc7q1gcb2y
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。