セキュリティに関する情報

Rhino JavaScript エンジンを使用していた Application Integration の JavaScript タスクで脆弱性が検出されました。これは、2025 年 1 月より前に公開されたタスクにのみ影響します。

必要な対策

Google は、Application Integration の JavaScript タスクで、より安全な V8 JavaScript エンジンに移行しました。2025 年 1 月以降、新しく公開されたすべての統合で V8 エンジンが使用され、2026 年 3 月 30 日に Rhino エンジンは完全に非推奨になりました。Rhino エンジンを使用する実行もブロックされるようになりました。

2025 年 1 月より前に公開された統合がある場合は、JavaScript タスクを確認して、Rhino エンジンに依存していないことを確認してください。Rhino を使用するように構成されているタスクは実行されなくなるため、V8 エンジンに移行する必要があります。移行手順については、 JavaScript タスクを移行するをご覧ください。

対処されている脆弱性

脆弱性 CVE-2025-0982 により、JavaScript タスクの作成と実行の権限を持つユーザーが、Application Integration 実行環境内で任意のコードを実行できるようになりました。

以前の JavaScript タスクでは、Rhino JavaScript エンジンを使用して、ユーザーが提供した JavaScript を実行していました。Rhino では、Java リフレクションの使用と、メモリ内権限オブジェクトの変更が許可されていました。これらを組み合わせることで、Java セキュリティ マネージャーを回避し、意図した実行サンドボックスから抜け出すことができました。Google は、2025 年 1 月に V8 JavaScript エンジンに移行し、2026 年 3 月 30 日に Rhino エンジンを完全に非推奨にしてブロックすることで、この問題を解決しました。