Apache Commons Lang hasta 2.6/3.17.x ClassUtils.getClass denegación de servicio
| CVSS Puntuación meta temporal | Precio actual del exploit (≈) | Puntuación de interés CTI |
|---|---|---|
| 5.3 | $0-$5k | 0.00 |
Resumen
Una vulnerabilidad ha sido encontrada en Apache Commons Lang hasta 2.6/3.17.x y clasificada como problemática. Está afectada una función desconocida. Mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase denegación de servicio. Esta vulnerabilidad se conoce como CVE-2025-48924. Ningún exploit está disponible. Se recomienda actualizar el componente afectado.
Detalles
Una vulnerabilidad ha sido encontrada en Apache Commons Lang hasta 2.6/3.17.x y clasificada como problemática. La función ClassUtils.getClass es afectada por esta vulnerabilidad. A través de la manipulación de un input desconocido se causa una vulnerabilidad de clase denegación de servicio. Esto tiene repercusión sobre la confidencialidad, integridad y disponibilidad. CVE resume:
Vulnerabilidad de recursión incontrolada en Apache Commons Lang. Este problema afecta a Apache Commons Lang: a partir de commons-lang:commons-lang 2.0 a 2.6, y desde org.apache.commons:commons-lang3 3.0 hasta 3.18.0. El método ClassUtils.getClass(...) puede generar un error de StackOverflowError en entradas muy largas. Dado que las aplicaciones y librerías no suelen gestionar un error, un error de StackOverflowError podría provocar la detención de una aplicación. Se recomienda actualizar a la versión 3.18.0, que soluciona el problema.El advisory puede ser descargado de lists.apache.org. La vulnerabilidad es identificada como CVE-2025-48924. Hay detalles técnicos conocidos, pero no se dispone de un exploit.
Para el scanner Nessus se dispone de un plugin ID 243262 (Debian dla-4262 : libcommons-lang-java - security update), que puede ayudar a determinar la existencia del riesgo analizado.
Una actualización a la versión 3.18.0 elimina esta vulnerabilidad.
La vulnerabilidad también está documentado en las bases de datos Tenable (243262), EUVD (EUVD-2025-21159) y CERT Bund (WID-SEC-2025-1540). If you want to get best quality of vulnerability data, you may have to visit VulDB.
Afectado
- Debian Linux
- Red Hat Enterprise Linux
- SUSE Linux
- IBM Tivoli Netcool/OMNIbus
- IBM Operational Decision Manager
- IBM SPSS
- IBM Security Guardium
- IBM DB2
- SUSE openSUSE
- IBM License Metric Tool
- IBM App Connect Enterprise
- IBM InfoSphere Information Server
- IBM Integration Bus
- Apache Commons
- IBM Sterling Connect:Direct
- SOS GmbH JobScheduler
- Red Hat JBoss Enterprise Application Platform
- Open Source Vaadin
- Open Source Keycloak
- Absolute Secure Access
- SAS Institute Base SAS
- HCL Commerce
- IBM Storage Scale
- Dell Secure Connect Gateway
- RealObjects PDFreactor
Producto
Proveedor
Nombre
Versión
Licencia
Sitio web
- Proveedor: https://www.apache.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Confiabilidad: 🔍
CVSSv3
VulDB Puntuación meta base: 5.5VulDB Puntuación meta temporal: 5.3
VulDB Puntuación base: 5.5
VulDB Puntuación temporal: 5.3
VulDB Vector: 🔒
VulDB Confiabilidad: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complejidad | Autenticación | Confidencialidad | Integridad | Disponibilidad |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Puntuación base: 🔒
VulDB Puntuación temporal: 🔒
VulDB Confiabilidad: 🔍
Explotación
Clase: Denegación de servicioCWE: CWE-674 / CWE-404
CAPEC: 🔒
ATT&CK: 🔒
Físico: No
Local: No
Remoto: En parte
Disponibilidad: 🔒
Estado: No está definido
EPSS Score: 🔒
EPSS Percentile: 🔒
Predicción de precios: 🔍
Estimación del precio actual: 🔒
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoy | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 243262
Nessus Nombre: Debian dla-4262 : libcommons-lang-java - security update
Inteligencia de amenazas
Interés: 🔍Actores activos: 🔍
Grupos APT activos: 🔍
Contramedidas
Recomendación: ActualizaciónEstado: 🔍
Hora de 0 días: 🔒
Actualización: Commons Lang 3.18.0
Línea de tiempo
2025-05-28 CVE asignado2025-07-11 Aviso publicado
2025-07-11 Entrada de VulDB creada
2026-01-29 Última actualización de VulDB
Fuentes
Proveedor: apache.orgAviso: lists.apache.org
Estado: Confirmado
CVE: CVE-2025-48924 (🔒)
GCVE (CVE): GCVE-0-2025-48924
GCVE (VulDB): GCVE-100-316170
EUVD: 🔒
CERT Bund: WID-SEC-2025-1540 - Apache Commons Lang: Schwachstelle ermöglicht Denial of Service
Artículo
Fecha de creación: 2025-07-11 20:30Actualizado: 2026-01-29 10:22
Cambios: 2025-07-11 20:30 (54), 2025-07-14 20:54 (1), 2025-07-14 21:41 (7), 2025-07-28 19:52 (1), 2025-08-02 01:15 (2), 2025-09-01 10:08 (1), 2025-12-04 14:56 (1), 2026-01-29 10:22 (1)
Completo: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Sin comentarios aún. Idiomas: es + pt + en.
Por favor, inicie sesión para comentar.