Vulnerabilidad en Apache Commons (CVE-2025-48734)

Vulnerabilidad de control de acceso inadecuado en Apache Commons. Se añadió una clase especial BeanIntrospector en la versión 1.9.2. Esta permite impedir que los atacantes utilicen la propiedad de clase declarada de los objetos de enumeración de Java para acceder al cargador de clases. Sin embargo, esta protección no estaba habilitada por defecto. PropertyUtilsBean (y, en consecuencia, BeanUtilsBean) ahora impide el acceso a las propiedades de clase declaradas por defecto. Las versiones 1.11.0 y 2.0.0-M2 solucionan un posible problema de seguridad al acceder a las propiedades de enumeración de forma incontrolada. Si una aplicación que utiliza Commons BeanUtils pasa rutas de propiedades desde una fuente externa directamente al método getProperty() de PropertyUtilsBean, un atacante puede acceder al cargador de clases de la enumeración mediante la propiedad "declaredClass", disponible en todos los objetos "enum" de Java. Acceder a la propiedad "declaredClass" de la enumeración permite a atacantes remotos acceder al cargador de clases y ejecutar código arbitrario. El mismo problema existe con PropertyUtilsBean.getNestedProperty(). A partir de las versiones 1.11.0 y 2.0.0-M2, un BeanIntrospector especial suprime la propiedad "declaredClass". Tenga en cuenta que este nuevo BeanIntrospector está habilitado por defecto, pero puede deshabilitarlo para recuperar el comportamiento anterior; consulte la sección 2.5 de la guía del usuario y las pruebas unitarias. Este problema afecta a Apache Commons BeanUtils 1.x anterior a la 1.11.0 y a las versiones 2.x anterior a la 2.0.0-M2. Se recomienda a los usuarios del artefacto commons-beanutils:commons-beanutils 1.x actualizar a la versión 1.11.0, que soluciona el problema. Se recomienda a los usuarios del artefacto org.apache.commons:commons-beanutils2 2.x actualizar a la versión 2.0.0-M2, que soluciona el problema.