Jaspersoft JasperReports JRLoader反序列化漏洞分析

本文详细分析了Jaspersoft JasperReports中存在的JRLoader类反序列化漏洞(CVE-2025-10492),攻击者可利用此漏洞在受影响系统上执行任意代码,CVSS评分为7.2分的高危漏洞。

ZDI-25-948 | Zero Day Initiative

咨询详情

2025年10月7日
Jaspersoft JasperReports JRLoader 反序列化不受信数据远程代码执行漏洞
ZDI-25-948 / ZDI-CAN-27130

CVE ID

CVE-2025-10492

CVSS 评分

7.2, AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

受影响厂商

Jaspersoft

受影响产品

Jasper Reports

漏洞详情

此漏洞允许远程攻击者在受影响的Jaspersoft JasperReports安装上执行任意代码。利用此漏洞需要与该库进行交互,但攻击向量可能因具体实现而异。

具体缺陷存在于JRLoader类中。该问题源于缺乏对用户提供数据的适当验证,可能导致不受信数据的反序列化。攻击者可利用此漏洞在服务账户的上下文中执行代码。

补充信息

Jaspersoft已发布更新以修复此漏洞。更多详细信息请参阅: https://community.jaspersoft.com/advisories/jaspersoft-security-advisory-september-16-2025-jaspersoft-library-cve-2025-10492-r6/

披露时间线

  • 2025年6月10日 - 向厂商报告漏洞
  • 2025年10月7日 - 协调公开发布咨询
  • 2025年10月7日 - 咨询更新

致谢

Swagat

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次