文章总结： ApacheCommonsText曝出严重漏洞CVE-2025-46295，CVSS评分9.8，因字符串插值机制导致远程代码执行，危害类同Log4Shell。该漏洞影响FileMakerServer，官方已在CommonsText1.14.0及FileMakerServer22.0.4中修复。建议管理员立即更新至安全版本。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,应用安全,网络安全

CVE-2025-46295 (CVSS 9.8)：Apache Commons Text 严重漏洞，可能导致服务器完全被控制

sec随谈

sec随谈

Apache Commons Text（一个广泛用于文本处理的 Java 库）中的一个严重漏洞已被修复，从而避免了一场可能发生的大规模远程代码执行 (RCE) 危机。该漏洞编号为 CVE-2025-46295， CVSS 评分接近满分 9.8，对未打补丁的系统构成紧急威胁。

该漏洞源于库的字符串插值功能——用于动态替换文本的工具。然而，1.10.0 之前的版本存在一个致命的疏忽：它们允许应用程序将不受信任的输入直接传递给文本替换 API。

安全公告警告称： “由于某些插值器可能会触发执行命令或访问外部资源等操作，攻击者有可能实现远程代码执行。”这种机制与曾震惊互联网的“Log4Shell”漏洞极其相似，后者将一个标准的数据处理函数变成了服务器接管的入口。

这一发现的影响波及到了依赖该库运行的 FileMaker Server。开发团队迅速做出回应，确认该问题已在 FileMaker Server 22.0.4 版本中得到“彻底解决”。

此次更新通过将底层 Apache Commons Text 组件升级到1.14.0版本来强化平台，从而有效地堵住了漏洞利用的漏洞。

强烈建议管理员立即修补系统漏洞。“我们强烈建议您进行更新，以确保 FileMaker Server 部署的安全，”该公告指出。

参考链接：

https://support.claris.com/s/answerview?anum=000049059&language=en_US

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈《CVE-2025-46295 (CVSS 9.8)：Apache Commons Text 严重漏洞，可能导致服务器完全被控制》