CVE-2025-11226: Logback-Core の設定ファイル処理に任意コード実行の脆弱性、Spring 環境でリスク

Java ロギングライブラリ「logback-core」の設定ファイル処理に、任意コード実行を可能にする権限昇格の脆弱性が確認された。CVE-2025-11226 として識別されるこの問題は、攻撃者が既存の設定ファイルを改ざんするか、悪意のある環境変数を注入することで、特定の条件下でアプリケーションの制御を奪う可能性を開く。深刻度は MEDIUM と評価されているが、Spring Framework と Janino ライブラリがクラスパス上に存在する環境では、リスクが顕在化する。

脆弱性は、QOS.CH が提供する logback-core のバージョン 1.5.18 までに影響する。攻撃が成立するには、攻撃者が設定ファイルへの書き込み権限を既に持っているか、プログラム実行前に環境変数を注入できる必要がある。具体的には、悪意のある設定ファイルを指し示す環境変数 `logback.configurationFile` を注入するか、既存の `logback.xml` などの設定ファイルを改ざんする経路が想定される。このため、初期攻撃ベクトルとしての直接的なリモートコード実行（RCE）ではなく、システム内での権限昇格や、設定管理プロセスが侵害された後の二次的な攻撃に悪用されるリスクが高い。

この脆弱性は、特に Spring Boot アプリケーションなど、logback を標準ロギング基盤として採用し、かつ動的条件評価のために Janino に依存している環境で影響を受ける可能性が高い。AWS ECR 上のコンテナイメージ（arn:aws:ecr:ap-northeast-1:297308647333:repository/dev/ai/web_backend/...）が影響リソースとして特定されている事例から、クラウドネイティブなマイクロサービスアーキテクチャにも波及する懸念がある。開発チームは、影響を受けるバージョンを使用しているか確認し、設定ファイルの権限管理を厳格化するとともに、公式パッチがリリース次第速やかにアップデートする必要がある。