IT-Sicherheit: IT-Sicherheitslücke bei Apache Commons BeanUtils mit hohem Risiko! Warnung erhält Update
Wie das BSI meldet, hat die IT-Sicherheitswarnung, welche eine vorliegende Schwachstelle für Apache Commons BeanUtils betrifft, ein Update erhalten. Welche Produkte von der Sicherheitslücke betroffen sind, lesen Sie hier auf news.de.
Erstellt von Sarah Knauth - Uhr
Suche
Die neuesten Hersteller-Empfehlungen bezüglich Updates, Workarounds und Sicherheitspatches für diese Sicherheitslücke finden Sie hier: IBM Security Bulletin 7249815 (Stand: 31.10.2025). Weitere nützliche Quellen werden weiter unten in diesem Artikel aufgeführt.
Sicherheitshinweis für Apache Commons BeanUtils - Risiko: hoch
Risikostufe: 4 (hoch)
CVSS Base Score: 8,8
CVSS Temporal Score: 7,7
Remoteangriff: Ja
Zur Einschätzung der Verwundbarkeit von Computersystemen wird das Common Vulnerability Scoring System (CVSS) angewandt. Der CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken auf Basis verschiedener Kriterien miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Einleitung von Gegenmaßnahmen zu erstellen. Für die Schweregrade einer Schwachstelle werden die Attribute "keine", "niedrig", "mittel", "hoch" und "kritisch" verwendet. Der Base Score bewertet die Voraussetzungen für einen Angriff (u.a. Authentifizierung, Komplexität, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Temporal Score fließen über die Zeit veränderbare Rahmenbedingungen in die Bewertung ein. Das Risiko der hier behandelten Schwachstelle wird nach dem CVSS mit einem Base Score von 8,8 als "hoch" eingeschätzt.
Apache Commons BeanUtils Bug: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen
Apache Commons ist ein Apache-Projekt, das alle Aspekte der wiederverwendbaren Java-Komponenten behandelt.
Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Apache Commons BeanUtils ausnutzen, um Sicherheitsvorkehrungen zu umgehen.
Die Verwundbarkeit wird mit der eindeutigen CVE-Identifikationsnummer (Common Vulnerabilities and Exposures) CVE-2025-48734 gehandelt.
Von der Sicherheitslücke Produkte im Überblick
Produkte
IBM Security Guardium 11.5 (cpe:/a:ibm:security_guardium)
Debian Linux (cpe:/o:debian:debian_linux)
Amazon Linux 2 (cpe:/o:amazon:linux_2)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
Fedora Linux (cpe:/o:fedoraproject:fedora)
SUSE Linux (cpe:/o:suse:suse_linux)
Red Hat JBoss Enterprise Application Platform (cpe:/a:redhat:jboss_enterprise_application_platform)
IBM Tivoli Netcool/OMNIbus (cpe:/a:ibm:tivoli_netcool%2fomnibus)
Oracle Linux (cpe:/o:oracle:linux)
IBM Operational Decision Manager (cpe:/a:ibm:operational_decision_manager)
IBM SPSS Analytic Server (cpe:/a:ibm:spss)
IBM QRadar SIEM (cpe:/a:ibm:qradar_siem)
RESF Rocky Linux (cpe:/o:resf:rocky_linux)
IBM App Connect Enterprise (cpe:/a:ibm:app_connect_enterprise)
IBM InfoSphere Information Server (cpe:/a:ibm:infosphere_information_server)
IBM SPSS Collaboration and Deployment Services 8.5 (cpe:/a:ibm:spss)
Red Hat Enterprise Linux Cryostat 4 (cpe:/o:redhat:enterprise_linux)
IBM Business Automation Workflow (cpe:/a:ibm:business_automation_workflow)
Apache Commons beanutils <1.11.0 (cpe:/a:apache:commons)
Apache Commons beanutils 1.11.0 (cpe:/a:apache:commons)
Apache Commons beanutils2 <2.0.0-M2 (cpe:/a:apache:commons)
Apache Commons beanutils2 2.0.0-M2 (cpe:/a:apache:commons)
Red Hat Enterprise Linux Apache Camel 1 (cpe:/o:redhat:enterprise_linux)
IBM Tivoli Business Service Manager <6.2.0.6 (cpe:/a:ibm:tivoli_business_service_manager)
IBM Tivoli Business Service Manager 6.2.0.6 (cpe:/a:ibm:tivoli_business_service_manager)
Red Hat JBoss Enterprise Application Platform <8.0.8 (cpe:/a:redhat:jboss_enterprise_application_platform)
Red Hat JBoss Enterprise Application Platform 8.0.8 (cpe:/a:redhat:jboss_enterprise_application_platform)
Red Hat JBoss Enterprise Application Platform <7.4.23 (cpe:/a:redhat:jboss_enterprise_application_platform)
Red Hat JBoss Enterprise Application Platform 7.4.23 (cpe:/a:redhat:jboss_enterprise_application_platform)
Atlassian Bamboo <11.0.3 (cpe:/a:atlassian:bamboo)
Atlassian Bamboo 11.0.3 (cpe:/a:atlassian:bamboo)
Atlassian Bamboo <10.2.6 (LTS) (cpe:/a:atlassian:bamboo)
Atlassian Bamboo 10.2.6 (LTS) (cpe:/a:atlassian:bamboo)
Atlassian Bamboo <9.6.15 (LTS) (cpe:/a:atlassian:bamboo)
Atlassian Bamboo 9.6.15 (LTS) (cpe:/a:atlassian:bamboo)
IBM SPSS Collaboration and Deployment Services 8.6 (cpe:/a:ibm:spss)
IBM Tivoli Network Manager IP Edition <4.2 Fix Pack 23 (cpe:/a:ibm:tivoli_network_manager)
IBM Tivoli Network Manager IP Edition 4.2 Fix Pack 23 (cpe:/a:ibm:tivoli_network_manager)
Atlassian Confluence <9.2.6 (cpe:/a:atlassian:confluence)
Atlassian Confluence 9.2.6 (cpe:/a:atlassian:confluence)
Atlassian Confluence <8.5.24 (cpe:/a:atlassian:confluence)
Atlassian Confluence 8.5.24 (cpe:/a:atlassian:confluence)
Atlassian Confluence <9.5.2 (cpe:/a:atlassian:confluence)
Atlassian Confluence 9.5.2 (cpe:/a:atlassian:confluence)
Atlassian Confluence <10.0.3 (cpe:/a:atlassian:confluence)
Atlassian Confluence 10.0.3 (cpe:/a:atlassian:confluence)
Red Hat JBoss A-MQ <7.12.5 (cpe:/a:redhat:jboss_amq)
Red Hat JBoss A-MQ 7.12.5 (cpe:/a:redhat:jboss_amq)
SAS Institute Base SAS <9.4M9 (TS1M9) (cpe:/a:sas:base_sas)
SAS Institute Base SAS 9.4M9 (TS1M9) (cpe:/a:sas:base_sas)
Allgemeine Empfehlungen zum Umgang mit IT-Schwachstellen
- Anwender der betroffenen Anwendungen sollten diese auf dem aktuellsten Stand halten. Hersteller sind bei Bekanntwerden von Sicherheitslücken dazu angehalten, diese schnellstmöglich durch Entwicklung eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie diese zeitnah.
- Konsultieren Sie zu Informationszwecken die im nächsten Abschnitt aufgeführten Quellen. Häufig enthalten diese weiterführende Informationen zur aktuellsten Version der betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
- Wenden Sie sich bei weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, wann das herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.
Quellen zu Updates, Patches und Workarounds
An dieser Stelle befinden sich weiterführende Links mit Informationen über Bug-Reports, Security-Fixes und Workarounds.
IBM Security Bulletin 7249815 vom 2025-10-31 (30.10.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7249815
IBM Security Bulletin 7249358 vom 2025-10-28 (27.10.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7249358
IBM Security Bulletin 7249058 vom 2025-10-24 (23.10.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7249058
IBM Security Bulletin 7247346 vom 2025-10-07 (07.10.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7247346
Rocky Linux Security Advisory RLSA-2025:9166 vom 2025-10-03 (05.10.2025)
Weitere Informationen finden Sie unter: https://errata.build.resf.org/RLSA-2025:9166
Rocky Linux Security Advisory RLSA-2025:9114 vom 2025-10-04 (05.10.2025)
Weitere Informationen finden Sie unter: https://errata.build.resf.org/RLSA-2025:9114
SAS Security Update vom 2025-10-02 (05.10.2025)
Weitere Informationen finden Sie unter: https://support.sas.com/en/security-bulletins/sas-security-update-for-sas-94m9-ts1m9.html
IBM Security Bulletin 7246098 vom 2025-09-29 (29.09.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7246098
Red Hat Security Advisory RHSA-2025:16667 vom 2025-09-25 (24.09.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:16667
Red Hat Security Advisory RHSA-2025:16668 vom 2025-09-25 (24.09.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:16668
Red Hat Security Advisory RHSA-2025:16409 vom 2025-09-23 (22.09.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:16409
Atlassian Security Advisory (16.09.2025)
Weitere Informationen finden Sie unter: https://jira.atlassian.com/browse/CONFSERVER-100795
Red Hat Security Advisory RHSA-2025:15815 vom 2025-09-15 (15.09.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:15815
Red Hat Security Advisory RHSA-2025:15816 vom 2025-09-15 (15.09.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:15816
Red Hat Security Advisory RHSA-2025:15817 vom 2025-09-15 (15.09.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:15817
Red Hat Security Advisory RHSA-2025:15813 vom 2025-09-15 (15.09.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:15813
Red Hat Security Advisory RHSA-2025:15814 vom 2025-09-15 (15.09.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:15814
Red Hat Security Advisory RHSA-2025:15810 vom 2025-09-15 (15.09.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:15810
Red Hat Security Advisory RHSA-2025:15812 vom 2025-09-15 (15.09.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:15812
Red Hat Security Advisory RHSA-2025:15811 vom 2025-09-15 (15.09.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:15811
IBM Security Bulletin 7244384 vom 2025-09-09 (09.09.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7244384
IBM Security Bulletin 7243781 vom 2025-09-02 (02.09.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7243781
IBM Security Bulletin 7242967 vom 2025-08-23 (24.08.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7242967
Red Hat Security Advisory RHSA-2025:13274 vom 2025-08-06 (06.08.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:13274
IBM Security Bulletin 7241547 vom 2025-08-06 (06.08.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7241547
Red Hat Security Advisory RHSA-2025:12511 vom 2025-08-03 (03.08.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:12511
Oracle Linux Security Advisory ELSA-2025-10814 vom 2025-07-30 (30.07.2025)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2025-10814.html
Atlassian Security Bulletin - July 15 2025 (15.07.2025)
Weitere Informationen finden Sie unter: https://confluence.atlassian.com/security/security-bulletin-july-15-2025-1590658642.html
IBM Security Bulletin 7239757 vom 2025-07-15 (15.07.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7239757
Red Hat Security Advisory RHSA-2025:10924 vom 2025-07-14 (14.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10924
Red Hat Security Advisory RHSA-2025:10926 vom 2025-07-14 (14.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10926
Red Hat Security Advisory RHSA-2025:10931 vom 2025-07-15 (14.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10931
Red Hat Security Advisory RHSA-2025:10925 vom 2025-07-15 (14.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10925
Red Hat Security Advisory RHSA-2025:10814 vom 2025-07-10 (10.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10814
Oracle Linux Security Advisory ELSA-2025-9318 vom 2025-07-09 (08.07.2025)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2025-9318.html
Red Hat Security Advisory RHSA-2025:10453 vom 2025-07-07 (07.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10453
Red Hat Security Advisory RHSA-2025:10452 vom 2025-07-08 (07.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10452
Red Hat Security Advisory RHSA-2025:10459 vom 2025-07-08 (07.07.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:10459
IBM Security Bulletin 7238747 vom 2025-07-02 (02.07.2025)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/7238747
Amazon Linux Security Advisory ALAS2-2025-2899 vom 2025-06-30 (30.06.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS2-2025-2899.html
Red Hat Security Advisory RHSA-2025:9922 vom 2025-06-30 (30.06.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:9922
Debian Security Advisory DLA-4229 vom 2025-06-25 (29.06.2025)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2025/06/msg00027.html
Oracle Linux Security Advisory ELSA-2025-9166 vom 2025-06-28 (29.06.2025)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2025-9166.html
Red Hat Security Advisory RHSA-2025:9696 vom 2025-06-26 (25.06.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:9696
Red Hat Security Advisory RHSA-2025:9697 vom 2025-06-26 (25.06.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:9697
Amazon Linux Security Advisory ALAS-2025-2899 vom 2025-06-24 (24.06.2025)
Weitere Informationen finden Sie unter: https://alas.aws.amazon.com/AL2/ALAS-2025-2899.html
Red Hat Security Advisory RHSA-2025:9318 vom 2025-06-23 (22.06.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:9318
SUSE Security Update SUSE-SU-2025:02056-1 vom 2025-06-20 (22.06.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-June/021617.html
Oracle Linux Security Advisory ELSA-2025-9114 vom 2025-06-19 (19.06.2025)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2025-9114.html
Red Hat Security Advisory RHSA-2025:9166 vom 2025-06-17 (16.06.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:9166
Red Hat Security Advisory RHSA-2025:9117 vom 2025-06-16 (16.06.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:9117
Red Hat Security Advisory RHSA-2025:9114 vom 2025-06-16 (16.06.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:9114
Red Hat Security Advisory RHSA-2025:9115 vom 2025-06-16 (16.06.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:9115
Fedora Security Advisory FEDORA-2025-48E8E5F8ED vom 2025-06-13 (12.06.2025)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2025-48e8e5f8ed
Fedora Security Advisory FEDORA-2025-3EB7C0066F vom 2025-06-13 (12.06.2025)
Weitere Informationen finden Sie unter: https://bodhi.fedoraproject.org/updates/FEDORA-2025-3eb7c0066f
Red Hat Security Advisory RHSA-2025:8919 vom 2025-06-11 (11.06.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:8919
Red Hat Security Advisory RHSA-2025:8265 vom 2025-06-05 (04.06.2025)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2025:8265
SUSE Security Update SUSE-SU-2025:01815-1 vom 2025-06-04 (04.06.2025)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2025-June/021416.html
OSS Security Mailing List vom 2025-05-29 (29.05.2025)
Weitere Informationen finden Sie unter: https://seclists.org/oss-sec/2025/q2/175
GitHub Advisory Database vom 2025-05-29 (29.05.2025)
Weitere Informationen finden Sie unter: https://github.com/advisories/GHSA-wxr5-93ph-8wr9
Red Hat Bugtracker vom 2025-05-29 (29.05.2025)
Weitere Informationen finden Sie unter: https://bugzilla.redhat.com/show_bug.cgi?id=2368956
Versionshistorie dieser Sicherheitswarnung
Dies ist die 33. Version des vorliegenden IT-Sicherheitshinweises für Apache Commons BeanUtils. Bei Bekanntgabe weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie anhand der folgenden Versionshistorie nachvollziehen.
29.05.2025 - Initiale Fassung
04.06.2025 - Neue Updates von SUSE und Red Hat aufgenommen
11.06.2025 - Neue Updates von Red Hat aufgenommen
12.06.2025 - Neue Updates von Fedora aufgenommen
16.06.2025 - Neue Updates von Red Hat aufgenommen
19.06.2025 - Neue Updates von Oracle Linux aufgenommen
22.06.2025 - Neue Updates von SUSE aufgenommen
24.06.2025 - Neue Updates von Amazon aufgenommen
25.06.2025 - Neue Updates von Red Hat aufgenommen
29.06.2025 - Neue Updates von Oracle Linux und Debian aufgenommen
30.06.2025 - Neue Updates von Red Hat und Amazon aufgenommen
02.07.2025 - Neue Updates von IBM aufgenommen
07.07.2025 - Neue Updates von Red Hat aufgenommen
08.07.2025 - Neue Updates von Oracle Linux aufgenommen
10.07.2025 - Neue Updates von Red Hat aufgenommen
14.07.2025 - Neue Updates von Red Hat aufgenommen
15.07.2025 - Neue Updates von IBM aufgenommen
30.07.2025 - Neue Updates von Oracle Linux aufgenommen
03.08.2025 - Neue Updates von Red Hat aufgenommen
06.08.2025 - Neue Updates von IBM und Red Hat aufgenommen
24.08.2025 - Neue Updates von IBM aufgenommen
02.09.2025 - Neue Updates von IBM aufgenommen
09.09.2025 - Neue Updates von IBM aufgenommen
15.09.2025 - Neue Updates von Red Hat aufgenommen
16.09.2025 - Neue Updates aufgenommen
22.09.2025 - Neue Updates von Red Hat aufgenommen
24.09.2025 - Neue Updates von Red Hat aufgenommen
29.09.2025 - Neue Updates von IBM aufgenommen
05.10.2025 - Neue Updates von Rocky Enterprise Software Foundation aufgenommen
07.10.2025 - Neue Updates von IBM aufgenommen
23.10.2025 - Neue Updates von IBM aufgenommen
27.10.2025 - Neue Updates von IBM aufgenommen
30.10.2025 - Neue Updates von IBM aufgenommen
+++ Redaktioneller Hinweis: Dieser Text wurde auf Basis aktueller BSI-Daten generiert und wird je nach Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter hinweis@news.de entgegen. +++
kns/roj/news.de
Erfahren Sie hier mehr über die journalistischen Standards und die Redaktion von news.de.