Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Apache Commons (CVE-2025-48734)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-284 Control de acceso incorrecto
Fecha de publicación:
28/05/2025
Última modificación:
09/06/2025

Descripción

Vulnerabilidad de control de acceso inadecuado en Apache Commons. Se añadió una clase especial BeanIntrospector en la versión 1.9.2. Esta permite impedir que los atacantes utilicen la propiedad de clase declarada de los objetos de enumeración de Java para acceder al cargador de clases. Sin embargo, esta protección no estaba habilitada por defecto. PropertyUtilsBean (y, en consecuencia, BeanUtilsBean) ahora impide el acceso a las propiedades de clase declaradas por defecto. Las versiones 1.11.0 y 2.0.0-M2 solucionan un posible problema de seguridad al acceder a las propiedades de enumeración de forma incontrolada. Si una aplicación que utiliza Commons BeanUtils pasa rutas de propiedades desde una fuente externa directamente al método getProperty() de PropertyUtilsBean, un atacante puede acceder al cargador de clases de la enumeración mediante la propiedad "declaredClass", disponible en todos los objetos "enum" de Java. Acceder a la propiedad "declaredClass" de la enumeración permite a atacantes remotos acceder al cargador de clases y ejecutar código arbitrario. El mismo problema existe con PropertyUtilsBean.getNestedProperty(). A partir de las versiones 1.11.0 y 2.0.0-M2, un BeanIntrospector especial suprime la propiedad "declaredClass". Tenga en cuenta que este nuevo BeanIntrospector está habilitado por defecto, pero puede deshabilitarlo para recuperar el comportamiento anterior; consulte la sección 2.5 de la guía del usuario y las pruebas unitarias. Este problema afecta a Apache Commons BeanUtils 1.x anterior a la 1.11.0 y a las versiones 2.x anterior a la 2.0.0-M2. Se recomienda a los usuarios del artefacto commons-beanutils:commons-beanutils 1.x actualizar a la versión 1.11.0, que soluciona el problema. Se recomienda a los usuarios del artefacto org.apache.commons:commons-beanutils2 2.x actualizar a la versión 2.0.0-M2, que soluciona el problema.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:apache:commons_beanutils:*:*:*:*:*:*:*:* 1.0 (incluyendo) 1.11.0 (excluyendo)
cpe:2.3:a:apache:commons_beanutils:2.0.0:milestone1:*:*:*:*:*:*