CVE-2025-48734

Nome do Software Vulnerável e Versões Afetadas Versões 1.x do Apache Commons BeanUtils anteriores à 1.11.0 Versões 2.x do Apache Commons BeanUtils anteriores à 2.0.0-M2

Descrição O problema está relacionado ao controle de acesso inadequado no Apache Commons BeanUtils, onde um atacante pode acessar o class loader do enum via a propriedade declaredClass disponível em todos os objetos enum do Java. Isso permite que atacantes remotos acessem o ClassLoader e executem código arbitrário. A vulnerabilidade ocorre ao acessar propriedades de enum de maneira não controlada, especificamente através do método getProperty() de PropertyUtilsBean ou PropertyUtilsBean.getNestedProperty(). Uma classe BeanIntrospector especial foi adicionada para suprimir a propriedade declaredClass, estando este recurso habilitado por padrão nas versões 1.11.0 e 2.0.0-M2.

Recomendações Para as versões 1.x do Apache Commons BeanUtils anteriores à 1.11.0, atualize para a versão 1.11.0 para corrigir o problema. Para as versões 2.x do Apache Commons BeanUtils anteriores à 2.0.0-M2, atualize para a versão 2.0.0-M2 para corrigir o problema. Como solução temporária, considere desabilitar o acesso à propriedade declaredClass até que uma correção esteja disponível. Restrinja o acesso ao método getProperty() de PropertyUtilsBean e a PropertyUtilsBean.getNestedProperty() para minimizar o risco de exploração.