JasperReports 存在 Java 反序列化漏洞 · CVE-2025-10492

漏洞详情

在 Jaspersoft Library 中发现了一个 Java 反序列化漏洞。对外部提供的数据处理不当，可能允许攻击者在使用受影响库的系统上远程执行任意代码。

受影响版本

• 受影响版本： <= 7.0.3
• 已修复版本： 暂无

参考资料

• https://nvd.nist.gov/vuln/detail/CVE-2025-10492
• https://community.jaspersoft.com/advisories/jaspersoft-security-advisory-september-16-2025-jaspersoft-library-cve-2025-10492-r6
• Jaspersoft/jasperreports#542

严重程度

• 严重等级： 高危
• CVSS 总体评分： 8.7 (满分10分)

CVSS v4 基础指标

• 可利用性指标
  • 攻击向量（AV）： 网络（Network）
  • 攻击复杂度（AC）： 低（Low）
  • 攻击前提（AT）： 无（None）
  • 所需权限（PR）： 低（Low）
  • 用户交互（UI）： 无（None）
• 受影响系统影响指标
  • 机密性（VC）： 高（High）
  • 完整性（VI）： 高（High）
  • 可用性（VA）： 高（High）
• 后续系统影响指标
  • 机密性（SC）： 无（None）
  • 完整性（SI）： 无（None）
  • 可用性（SA）： 无（None）

CVSS 向量字符串： CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

EPSS 评分

• EPSS 评分： 0.331% (第56百分位) 此分数估计了该漏洞在未来30天内被利用的概率。数据由 FIRST 提供。

弱点

• 弱点： CWE-502 - 反序列化不可信数据
  • 产品在反序列化不可信数据时，未能充分确保结果数据的有效性。

标识符

• CVE ID： CVE-2025-10492
• GHSA ID： GHSA-7c3f-cg9x-f3gr

源代码 Jaspersoft/jasperreports

致谢 分析师：tremblaysimon