Plateforme
java
Composant
org.apache.commons:commons-vfs2
Corrigé dans
2.10.0
2.10.0
Une vulnérabilité de traversée de chemin a été découverte dans Apache Commons VFS, affectant les versions antérieures à 2.10.0. Cette faille permet à un attaquant de contourner les mécanismes de sécurité et d'accéder à des fichiers non autorisés en manipulant les séquences de caractères '..' encodées dans les chemins d'accès. Il est fortement recommandé de mettre à jour vers la version 2.10.0 pour corriger cette vulnérabilité.
La traversée de chemin dans Apache Commons VFS permet à un attaquant de lire des fichiers sensibles situés en dehors du répertoire prévu. En manipulant les séquences encodées '..' dans les chemins d'accès, l'attaquant peut contourner les vérifications de descendance et accéder à des fichiers arbitraires sur le système de fichiers. Cela peut entraîner la divulgation d'informations confidentielles, telles que des mots de passe, des clés de chiffrement ou des données sensibles des utilisateurs. La portée de l'impact dépend des privilèges de l'utilisateur exécutant l'application utilisant Commons VFS et des permissions des fichiers accessibles.
Cette vulnérabilité n'est pas encore répertoriée sur KEV, et son score EPSS n'a pas été évalué. Aucune preuve d'exploitation active n'a été rapportée à ce jour. La vulnérabilité a été publiée le 23 mars 2025. Il est conseillé de surveiller les sources d'informations sur les menaces pour détecter d'éventuelles activités malveillantes.
Applications and services that utilize Apache Commons VFS for file handling are at risk, particularly those that accept user-supplied file paths without proper validation. This includes web applications, file servers, and data processing pipelines. Legacy systems relying on older versions of Commons VFS are especially vulnerable.
• java / server:
find /path/to/your/app -name "commons-vfs2-*.jar" -print0 | xargs -0 jar -xf {} | grep -q 'resolveFile(String, NameScope)'• generic web:
curl -I 'http://your-app/path/../sensitive_file.txt' # Check for directory traversal responsesdisclosure
Statut de l'Exploit
EPSS
0.85% (percentile 75%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour Apache Commons VFS vers la version 2.10.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de valider et de nettoyer rigoureusement tous les chemins d'accès fournis par l'utilisateur avant de les utiliser avec la méthode resolveFile. L'utilisation de listes blanches de chemins d'accès autorisés peut également aider à limiter l'impact potentiel. En cas d'utilisation d'un proxy inverse ou d'un WAF, configurez des règles pour bloquer les requêtes contenant des séquences encodées '..' dans les chemins d'accès.
Actualice Apache Commons VFS a la versión 2.10.0 o superior. Esta versión corrige la vulnerabilidad de path traversal. Reemplace la versión anterior de la biblioteca por la nueva en su proyecto.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-27553 is a Path Traversal vulnerability affecting Apache Commons VFS versions before 2.10.0, allowing attackers to bypass file access restrictions by manipulating encoded '..' characters in paths.
You are affected if you are using Apache Commons VFS versions prior to 2.10.0. Check your dependencies and upgrade as soon as possible.
Upgrade to Apache Commons VFS version 2.10.0 or later. As a temporary workaround, sanitize user-provided file paths to remove or encode potentially malicious characters.
While there are no confirmed reports of active exploitation, the vulnerability's nature suggests it could be exploited in automated attacks.
Refer to the Apache Commons VFS project website and security mailing lists for the latest information and advisories.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.