发布日期：2025-05-28
更新日期：2025-08-07

受影响系统：

Apache Commons >= 2.x2.0.0-M1 < 2.0.0-M2
Apache Commons >= 1.x1.0 < 1.11.0

描述：

---

CVE(CAN) ID: CVE-2025-48734

Apache Commons是一个功能强大的Java工具包，提供了多种实用工具类，帮助开发者解决常见的编程问题，减少重复劳动。
Apache Commons多个版本存在访问控制漏洞，该漏洞源于使用Commons BeanUtils的应用程序将属性路径从外部源直接传递到 PropertyUtilsBean的getProperty()方法时，攻击者可以通过所有Java“枚举”对象上可用的“declaredClass”属性访问枚举的类加载器，远程攻击者可利用该漏洞通过枚举的“declaredClass”访问 ClassLoader并执行任意代码。

<*链接：https://lists.apache.org/thread/s0hb3jkfj5f3ryx6c57zqtfohb0of1g9
*>

建议：

---

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://lists.apache.org/thread/s0hb3jkfj5f3ryx6c57zqtfohb0of1g9

浏览次数：39
严重程度：0（网友投票）