Apereo CAS存在低效正则表达式复杂度漏洞 · CVE-2025-3985

漏洞详情

包名: maven - org.apereo.cas:cas-management-webapp-support (Maven)

受影响版本: <= 5.2.6

修复版本: 无

漏洞描述

在Apereo CAS 5.2.6中发现了一个漏洞，被归类为有问题级别。该漏洞影响文件cas-5.2.6\webapp-mgmt\cas-management-webapp-support\src\main\java\org\apereo\cas\mgmt\services\web\ManageRegisteredServicesMultiActionController.java中的ResponseEntity函数。

对参数Query的操纵会导致正则表达式复杂度效率低下。攻击者可以远程发起攻击。漏洞利用方法已公开披露并可能被使用。供应商早期已收到此披露通知但未作出任何回应。

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-3985
• https://vuldb.com/?ctiid.306321
• https://vuldb.com/?id.306321
• https://vuldb.com/?submit.557110
• https://wx.mail.qq.com/s?k=lzDuxVkSRXUZ0bwZEG

严重程度

中等严重程度 - CVSS评分：5.1/10

CVSS v4基础指标

可利用性指标:

• 攻击向量：网络
• 攻击复杂度：低
• 攻击要求：无
• 所需权限：高
• 用户交互：无

脆弱系统影响指标:

• 机密性：无影响
• 完整性：无影响
• 可用性：低影响

后续系统影响指标:

• 机密性：无影响
• 完整性：无影响
• 可用性：无影响

EPSS评分

0.096% (第27百分位)

弱点分类

CWE-400: 不受控制的资源消耗

产品未能正确控制有限资源的分配和维护，从而使攻击者能够影响消耗的资源量，最终导致可用资源耗尽。