A vulnerability (CVSS 8.8) in Apache Commons BeanUtils allows an authenticated remote attacker to bypass security restrictions. Affected versions are Apache Commons BeanUtils prior to version 1.11.0 and BeanUtils2 prior to 2.0.0-M2. The article lists numerous downstream products from vendors including Atlassian, IBM, Red Hat, and Dell that are affected and provides mitigation updates.
[WID-SEC-2025-1169] Apache Commons BeanUtils: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen CVSS Base Score 8.8 (hoch) CVSS Temporal Score 7.7 (hoch) Remoteangriff ja Datum 29.05.2025 Stand UPDATE 24.03.2026 Mitigation ja Betroffene Systeme Betriebssystem Sonstiges Produktbeschreibung Apache Commons ist ein Apache-Projekt, das alle Aspekte der wiederverwendbaren Java-Komponenten behandelt. Produkte UPDATE 23.03.2026 Dell Secure Connect Gateway <5.34.00.16 UPDATE 25.01.2026 Gentoo Linux UPDATE 20.01.2026 IBM Security Guardium UPDATE 21.12.2025 Dell PowerProtect Data Domain UPDATE 18.11.2025 Atlassian Bitbucket <10.0.2 Atlassian Bitbucket <8.19.25 (LTS) Atlassian Bitbucket <9.4.13 (LTS) UPDATE 30.10.2025 IBM App Connect Enterprise UPDATE 27.10.2025 IBM Operational Decision Manager UPDATE 23.10.2025 IBM Tivoli Netcool/OMNIbus UPDATE 07.10.2025 IBM Business Automation Workflow UPDATE 05.10.2025 RESF Rocky Linux SAS Institute Base SAS <9.4M9 (TS1M9) UPDATE 29.09.2025 IBM InfoSphere Information Server UPDATE 22.09.2025 Red Hat JBoss A-MQ <7.12.5 UPDATE 16.09.2025 Atlassian Confluence <9.2.6 Atlassian Confluence <8.5.24 Atlassian Confluence <9.5.2 Atlassian Confluence <10.0.3 UPDATE 09.09.2025 IBM SPSS Analytic Server UPDATE 02.09.2025 IBM Tivoli Network Manager IP Edition <4.2 Fix Pack 23 UPDATE 24.08.2025 IBM SPSS Collaboration and Deployment Services 8.5 IBM SPSS Collaboration and Deployment Services 8.6 UPDATE 06.08.2025 IBM Security Guardium 11.5 UPDATE 15.07.2025 IBM QRadar SIEM Atlassian Bamboo <11.0.3 Atlassian Bamboo <10.2.6 (LTS) Atlassian Bamboo <9.6.15 (LTS) UPDATE 14.07.2025 Red Hat JBoss Enterprise Application Platform Red Hat JBoss Enterprise Application Platform <7.4.23 UPDATE 07.07.2025 Red Hat JBoss Enterprise Application Platform <8.0.8 UPDATE 02.07.2025 IBM Tivoli Business Service Manager <6.2.0.6 UPDATE 29.06.2025 Debian Linux UPDATE 24.06.2025 Amazon Linux 2 UPDATE 19.06.2025 Oracle Linux UPDATE 16.06.2025 Red Hat Enterprise Linux UPDATE 12.06.2025 Fedora Linux UPDATE 11.06.2025 Red Hat Enterprise Linux Apache Camel 1 UPDATE 04.06.2025 SUSE Linux Red Hat Enterprise Linux Cryostat 4 29.05.2025 Apache Commons beanutils <1.11.0 Apache Commons beanutils2 <2.0.0-M2 Angriff Angriff Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Apache Commons BeanUtils ausnutzen, um Sicherheitsvorkehrungen zu umgehen. CVE Informationen Versionshistorie Feedback zum Advisory geben