Apache Commons BeanUtils CVE-2025-48734 远程代码执行漏洞

关键信息 CVE编号: CVE-2025-48734 漏洞描述: Apache Commons BeanUtils: PropertyUtilsBean 默认情况下不抑制枚举的 declaredClass 属性。 严重性: 重要 受影响版本: - Apache Commons BeanUtils 1.x 在 1.0 到 1.11.0 之前 - Apache Commons BeanUtils 2.x 在 2.0.0-M1 到 2.0.0-M2 之前 描述: - 不当访问控制漏洞存在于 Apache Commons 中。 - 特殊的 BeanIntrospector 类在 1.9.2 版本中添加，用于阻止攻击者通过 Java 枚举对象的 declared class 属性访问类加载器。但此保护默认未启用。PropertyUtilsBean（以及因此的 BeanUtilsBean）现在默认禁止 declared class 级别属性访问。 - 当应用程序使用 Commons BeanUtils 从外部源直接传递属性路径到 getProperty() 方法时，攻击者可以通过枚举的 "declaredClass" 访问 ClassLoader 并执行任意代码。 - 从 1.11.0 和 2.0.0-M2 版本开始，特殊的 BeanIntrospector 抑制了 "declaredClass" 属性。 修复建议: - 使用 commons-beanutils 1.x 的用户应升级到 1.11.0 版本。 - 使用 commons-beanutils 2.x 的用户应升级到 2.0.0-M2 版本。 发现者: - Raj (mailto:denesh.raj@zohocorp.com) - Muthukumar Marikani (mailto:muthukumar.marikani@zohocorp.com) 参考链接: - https://commons.apache.org/ - https://www.cve.org/CVERecord?id=CVE-2025-48734

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

Apache Commons BeanUtils CVE-2025-48734 远程代码执行漏洞

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Apache Commons BeanUtils CVE-2025-48734 远程代码执行漏洞

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！