Amazon Linux 2023apache-commons-beanutilsapache-commons-beanutils-javadoc (ALAS2023-2025-999)

high Nessus 插件 ID 238283

语言：

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此，该程序受到 ALAS2023-2025-999 公告中提及的一个漏洞影响。

Apache Commons 中的访问控制不正确漏洞。

在版本 1.9.2中添加了一个特殊的 BeanIntrospector 类。这可用于阻止攻击者使用 Java 枚举对象的已声明类属性来获取对类加载器的访问权限。但默认未启用此保护。PropertyUtilsBean（以及 BeanUtilsBean）现在默认为不允许访问已声明的类级别属性。

版本 1.11.0 和 2.0.0-M2解决了以不受控制的方式访问 enum 属性时的潜在安全问题。如果使用 Commons BeanUtils 的应用程序将属性路径从外部源直接传递到 PropertyUtilsBean 的 getProperty() 方法则攻击者可通过所有 Java 枚举对象上可用的 declareClass 属性访问 enum 的类加载器。访问枚举的 declareClass 会允许远程攻击者访问 ClassLoader 并执行任意代码。PropertyUtilsBean.getNestedProperty().Starting 存在同样的问题在版本 1.11.0 和 2.0.0-M2 中特殊的 BeanIntrospector 会禁止 declareClass 属性。请注意虽然这个新的 BeanIntrospector 在默认情况下是启用的但您可以禁用它以重新获得旧行为。请参阅用户指南的 2.5 节和单元测试。

此问题会影响构件 commons-beanutils:commons-beanutils 之前的 Apache Commons BeanUtils 1.x1.11.0以及 2.0.0-M2.Users 之前的 2.x

建议1.x 升级到版本 1.11.0后者修复了此问题。

构件 org.apache.commons:commons-beanutils2 的用户

2.x 建议升级到版本 2.0.0-M2其中修复了此问题。 (CVE-2025-48734)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。