- شناسه CVE-2025-48924 :CVE
- CWE-674 :CWE
- yes :Advisory
- منتشر شده: جولای 11, 2025
- به روز شده: جولای 11, 2025
- امتیاز: 6.5
- نوع حمله: Unknown
- اثر گذاری: Overflow
- حوزه: وبسرورها
- برند: Apache
- محصول: Apache Commons Lang
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری از نوع بازگشت کنترلنشده (Uncontrolled Recursion) در متد ClassUtils.getClass(…) از کتابخانه Apache Commons Lang شناسایی شده است. این آسیب پذیری زمانی رخ می دهد که متد مذکور با ورودی های بسیار طولانی مواجه شود و در نتیجه ی آن خطای StackOverflowError ایجاد گردد.
توضیحات
در نسخه های قدیمی کتابخانه Apache Commons Lang ، متدClassUtils.getClass(…) هنگام پردازش رشتههای بسیار طولانی برای resolve کردن نام کلاس، ممکن است وارد بازگشت کنترلنشده(Uncontrolled Recursion) شود. این عملکرد منجربه پر شدن پشته و در نتیجه خطای StackOverflowError میشود. این آسیبپذیری میتواند توسط مهاجم برای ایجاد اختلال در عملکرد برنامه مورد سوءاستفاده قرار گیرد و بر سه مؤلفه اصلی امنیت یعنی محرمانگی، یکپارچگی و در دسترسپذیری تأثیر منفی بگذارد. Apache این مشکل را در نسخه 3.18.0 از کتابخانه پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 2.0 through 2.6 | Apache Commons Lang |
| affected from 3.0 before 3.18.0 | Apache Commons Lang |
لیست محصولات بروز شده
| Versions | Product |
| and later3.18.0 | Apache Commons Lang |
نتیجه گیری
کاربران باید در اسرع وقت Apache Commons Lang را به نسخه 3.18.0 بهروزرسانی کرده و ورودیهای ارسالی به متد ClassUtils.getClass(…) را اعتبارسنجی کنند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-48924
- https://www.cvedetails.com/cve/CVE-2025-48924/
- https://lists.apache.org/thread/bgv0lpswokgol11tloxnjfzdl7yrc1g1
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-48924
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-48924
- https://nvd.nist.gov/vuln/detail/CVE-2025-48924
- https://cwe.mitre.org/data/definitions/674.html
