Apereo CAS存在低效正则表达式复杂度漏洞 · CVE-2025-3985
漏洞详情
包信息
- 包管理器: Maven
- 包名称: org.apereo.cas:cas-management-webapp-support
影响版本
- <= 5.2.6
修复版本
无
漏洞描述
在Apereo CAS 5.2.6中发现了一个漏洞,被归类为有问题级别。该漏洞影响文件cas-5.2.6\webapp-mgmt\cas-management-webapp-support\src\main\java\org\apereo\cas\mgmt\services\web\ManageRegisteredServicesMultiActionController.java中的ResponseEntity函数。对参数Query的操纵会导致正则表达式复杂度低效。攻击可以远程发起。漏洞利用已公开披露并可能被使用。早期已联系供应商但未收到任何回应。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-3985
- https://vuldb.com/?ctiid.306321
- https://vuldb.com/?id.306321
- https://vuldb.com/?submit.557110
- https://wx.mail.qq.com/s?k=lzDuxVkSRXUZ0bwZEG
严重程度
- 等级: 中等
- CVSS总体评分: 5.1/10
CVSS v4基础指标
可利用性指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 攻击要求: 无
- 所需权限: 高
- 用户交互: 无
脆弱系统影响指标
- 机密性: 无
- 完整性: 无
- 可用性: 低
后续系统影响指标
- 机密性: 无
- 完整性: 无
- 可用性: 无
EPSS评分
- 分数: 0.096%
- 百分位: 27th
弱点
- 弱点: CWE-400
- 描述: 未受控制的资源消耗。产品未能正确控制有限资源的分配和维护,从而使参与者能够影响消耗的资源量,最终导致可用资源耗尽。
标识符
- CVE ID: CVE-2025-3985
- GHSA ID: GHSA-8rx4-fxq5-vj4v
源代码
- apereo/cas