9высокая
BDU:2025-06231 (CVE-2025-48734)
Уязвимость класса PropertyUtilsBean утилиты Apache Commons Beanutils, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2025-07-11
Описание
Уязвимость класса PropertyUtilsBean утилиты Apache Commons Beanutils связана с недостатками разграичения доступа к загрузчику классов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)JBoss Enterprise Application Platform (7)Data Grid (8)Red Hat Process Automation (7)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)JBoss Enterprise Application Platform (7.4 for RHEL 8)JBoss Enterprise Application Platform (7.4 on RHEL 7)Red Hat Enterprise Linux (9)Red Hat build of OptaPlanner (8)JBoss Enterprise Application Platform (7.4 for RHEL 9)Red Hat Enterprise Linux (7 Extended Lifecycle Support)Red Hat Fuse (7)Red Hat Enterprise Linux (9.4 Extended Update Support)Red Hat AMQ ClientsRed Hat AMQ Clients (2)Red Hat build of Apicurio Registry (2)Red Hat build of Debezium (2)Red Hat Enterprise Linux (10)Commons Beanutils (от 1.0 до 1.11.0)Commons Beanutils (от 2.0 до 2.0.0-M2)Red Hat build of Apache Camel for Spring Boot (4.10.3)Cryostat (4 on RHEL 9)Streams for Apache Kafka (3)РЕД ОС (8.0)Red Hat build of Apicurio Registry (3)Streams for Apache Kafka (2.9.1)Red Hat build of Debezium (3)Red Hat Integration Camel K (1)
Способ устранения
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Apache Tomcat:
https://lists.apache.org/thread/s0hb3jkfj5f3ryx6c57zqtfohb0of1g9
https://commons.apache.org/
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения commons-beanutils до версии 1.9.4-1+deb12u1
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-48734
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2025-48734
Оценка CVSS
| Балл | 9 — высокая опасность |
Источники и патчи