一、 漏洞 CVE-2025-5680 基础信息
漏洞信息
                                        # 深圳达视同舟信息科技敏捷流程管理Groovy脚本SysScriptController.java executeScript反序列化漏洞

## 概述
在Shenzhen Dashi Tongzhou Information Technology的AgileBPM软件中,发现了被分类为严重漏洞的问题。该漏洞存在于Groovy Script Handler组件中的`/src/main/java/com/dstz/sys/rest/controller/SysScriptController.java`文件的`executeScript`函数中,攻击者可以通过远程操作参数`script`来触发反序列化攻击。

## 影响版本
AgileBPM 2.5.0及以下版本

## 细节
- **组件**: Groovy Script Handler
- **文件**: `/src/main/java/com/dstz/sys/rest/controller/SysScriptController.java`
- **函数**: `executeScript`
- **攻击向量**: 通过操作`executeScript`函数中的`script`参数实现远程攻击
- **漏洞类型**: 反序列化漏洞

## 影响
- 远程攻击者可以利用此漏洞发起攻击。
- 攻击方法已被公开披露,可能已被恶意使用。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Shenzhen Dashi Tongzhou Information Technology AgileBPM Groovy Script SysScriptController.java executeScript deserialization
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability classified as critical was found in Shenzhen Dashi Tongzhou Information Technology AgileBPM up to 2.5.0. Affected by this vulnerability is the function executeScript of the file /src/main/java/com/dstz/sys/rest/controller/SysScriptController.java of the component Groovy Script Handler. The manipulation of the argument script leads to deserialization. The attack can be launched remotely. The exploit has been disclosed to the public and may be used.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
可信数据的反序列化
来源:美国国家漏洞数据库 NVD
漏洞标题
AgileBPM 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
AgileBPM是中国AgileBPM项目的一个敏捷开发平台。 AgileBPM 2.5.0及之前版本存在代码问题漏洞,该漏洞源于对组件Groovy Script Handler中文件SysScriptController.java中参数script的错误操作导致反序列化。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-5680 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-5680 的情报信息