一、 漏洞 CVE-2025-5679 基础信息
漏洞信息
                                        # 深圳达实同洲信息技术AgileBPM SysToolsController.java parseStrByFreeMarker 反序列化漏洞

## 概述
Shenzhen Dashi Tongzhou Information Technology的AgileBPM存在一个关键漏洞,该漏洞影响到了`SysToolsController.java`文件中的`parseStrByFreeMarker`函数。攻击者可以通过远程操纵参数`str`触发反序列化攻击。

## 影响版本
- AgileBPM 2.5.0及以下版本

## 细节
- 漏洞存在于`/src/main/java/com/dstz/sys/rest/controller/SysToolsController.java`文件中,具体是`parseStrByFreeMarker`函数。
- 攻击者可以通过远程操纵函数中的`str`参数触发反序列化攻击。

## 影响
- 远程攻击者可以利用此漏洞发动攻击。
- 漏洞利用方法已被公开,存在被恶意利用的风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Shenzhen Dashi Tongzhou Information Technology AgileBPM SysToolsController.java parseStrByFreeMarker deserialization
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability classified as critical has been found in Shenzhen Dashi Tongzhou Information Technology AgileBPM up to 2.5.0. Affected is the function parseStrByFreeMarker of the file /src/main/java/com/dstz/sys/rest/controller/SysToolsController.java. The manipulation of the argument str leads to deserialization. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
可信数据的反序列化
来源:美国国家漏洞数据库 NVD
漏洞标题
AgileBPM 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
AgileBPM是中国AgileBPM项目的一个敏捷开发平台。 AgileBPM 2.5.0及之前版本存在代码问题漏洞,该漏洞源于对文件SysToolsController.java中参数str的错误操作导致反序列化。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-5679 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-5679 的情报信息