製品・ソフトウェアに関する情報

JVN脆弱性詳細

Jmixのファイルアップロード機能により任意のJavaScriptが実行される可能性がある脆弱性

Title	Jmixのファイルアップロード機能により任意のJavaScriptが実行される可能性がある脆弱性
Summary	JmixはSpring Bootによるデータ中心アプリケーション開発を加速するためのライブラリとツールのセットです。バージョン1.0.0から1.6.1、および2.0.0から2.3.4までのバージョンでは、ファイルパスとファイル名として入力されたパラメータを操作することで、ファイル名が.htmlで終わる場合、Content-Typeヘッダーがtext/htmlとして返されます。その結果、悪意のあるJavaScriptコードがブラウザで実行される可能性があります。攻撃を成功させるためには、事前に不正なファイルをアップロードする必要があります。この問題はバージョン1.6.2および2.4.0で修正されました。Jmixドキュメントサイトに回避策が掲載されています。
Possible impacts	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 22, 2025, midnight
Registration Date	Jan. 6, 2026, 10:49 a.m.
Last Update	Jan. 6, 2026, 10:49 a.m.

CVSS3.0 : 警告
Score	5.4
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Affected System

Haulmont

CUBA Platform 6.2.0 以上 7.2.23 未満

CUBA REST API 7.1.1 以上 7.2.7 未満

Jmix Framework 1.0.0 以上 1.6.2 未満

Jmix Framework 2.0.0 以上 2.4.0 未満

JPA Web API 1.0.0 以上 1.1.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-32951	https://www.cve.org/CVERecord?id=CVE-2025-32951
National Vulnerability Database (NVD)
2	CVE-2025-32951	https://nvd.nist.gov/vuln/detail/CVE-2025-32951

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
GitHub Advisory Database
1	XSS in the /files Endpoint of the Generic REST API Advisory jmix-framework/jmix GitHub	https://github.com/jmix-framework/jmix/security/advisories/GHSA-x27v-f838-jh93
Jmix Documentation
2	Files Functionality Vulnerabilities :: Jmix Documentation (files-vulnerabilities.html#disable-files-endpoint-in-jmix-application)	https://docs.jmix.io/jmix/files-vulnerabilities.html#disable-files-endpoint-in-jmix-application
3	Files Functionality Vulnerabilities :: Jmix Documentation (files-vulnerabilities.html)	https://docs.jmix.io/jmix/files-vulnerabilities.html

その他

No	Name	URL
関連文書
1	Backport REST files fixes to 1.6 Issue #3836 jmix-framework/jmix	https://github.com/jmix-framework/jmix/issues/3836
2	Backport REST files fixes to 1.6 #3836 jmix-framework/jmix@6a66aa3 GitHub	https://github.com/jmix-framework/jmix/commit/6a66aa3adb967159a30d703e80403406f4c8f7a2
3	Backport REST files fixes to 1.6 #3836 jmix-framework/jmix@f4e6fb0 GitHub	https://github.com/jmix-framework/jmix/commit/f4e6fb05bd245cf36f3e9319aaa0fcd540d024aa
4	Security vulnerabilities in REST files endpoint Issue #3804 jmix-framework/jmix	https://github.com/jmix-framework/jmix/issues/3804
5	Security vulnerabilities in rest files endpoint #3804 jmix-framework/jmix@c589ef4 GitHub	https://github.com/jmix-framework/jmix/commit/c589ef4e2b25620770b8036f4ad05f1a6250cb6a
6	Security vulnerabilities in rest files endpoint #3804 jmix-framework/jmix@cc97e6f GitHub	https://github.com/jmix-framework/jmix/commit/cc97e6ff974b9e7af8160fab39cc5866169daa37

Change Log

No	Changed Details	Date of change
1	[2026年01月06日] 掲載	Jan. 6, 2026, 10:49 a.m.

NVD Vulnerability Information

CVE-2025-32951

Summary	Jmix is a set of libraries and tools to speed up Spring Boot data-centric application development. In versions 1.0.0 to 1.6.1 and 2.0.0 to 2.3.4, the input parameter, which consists of a file path and name, can be manipulated to return the Content-Type header with text/html if the name part ends with .html. This could allow malicious JavaScript code to be executed in the browser. For a successful attack, a malicious file needs to be uploaded beforehand. This issue has been patched in versions 1.6.2 and 2.4.0. A workaround is provided on the Jmix documentation website.
Publication Date	April 23, 2025, 3:15 a.m.
Registration Date	April 24, 2025, 4:01 a.m.
Last Update	April 23, 2025, 3:15 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://docs.jmix.io/jmix/files-vulnerabilities.html
2	https://docs.jmix.io/jmix/files-vulnerabilities.html#disable-files-endpoint-in-jmix-application
3	https://github.com/jmix-framework/jmix/security/advisories/GHSA-x27v-f838-jh93

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html