Apache · Apache Commons Beanutils · CVE-2025-48734
**Nome do Software Vulnerável e Versões Afetadas**
Versões 1.x do Apache Commons BeanUtils anteriores à 1.11.0
Versões 2.x do Apache Commons BeanUtils anteriores à 2.0.0-M2
**Descrição**
O problema está relacionado ao controle de acesso inadequado no Apache Commons BeanUtils, onde um atacante pode acessar o class loader do enum via a propriedade `declaredClass` disponível em todos os objetos enum do Java. Isso permite que atacantes remotos acessem o ClassLoader e executem código arbitrário. A vulnerabilidade ocorre ao acessar propriedades de enum de maneira não controlada, especificamente através do método `getProperty()` de `PropertyUtilsBean` ou `PropertyUtilsBean.getNestedProperty()`. Uma classe `BeanIntrospector` especial foi adicionada para suprimir a propriedade `declaredClass`, estando este recurso habilitado por padrão nas versões 1.11.0 e 2.0.0-M2.
**Recomendações**
Para as versões 1.x do Apache Commons BeanUtils anteriores à 1.11.0, atualize para a versão 1.11.0 para corrigir o problema.
Para as versões 2.x do Apache Commons BeanUtils anteriores à 2.0.0-M2, atualize para a versão 2.0.0-M2 para corrigir o problema.
Como solução temporária, considere desabilitar o acesso à propriedade `declaredClass` até que uma correção esteja disponível.
Restrinja o acesso ao método `getProperty()` de `PropertyUtilsBean` e a `PropertyUtilsBean.getNestedProperty()` para minimizar o risco de exploração.