Plataforma
java
Componente
org.apache.commons:commons-vfs2
Corrigido em
2.10.0
2.10.0
Uma vulnerabilidade de Path Traversal foi descoberta no Apache Commons VFS, afetando versões anteriores a 2.10.0. Essa falha permite que um atacante contorne as restrições de acesso a arquivos, potencialmente expondo informações sensíveis ou executando código malicioso. A vulnerabilidade afeta aplicações Java que utilizam o Apache Commons VFS e pode ser mitigada atualizando para a versão 2.10.0.
A vulnerabilidade de Path Traversal em Apache Commons VFS permite que um atacante explore o método 'resolveFile' para acessar arquivos fora do diretório base esperado. Ao inserir caminhos com caracteres ".." codificados (como "%2E%2E/bar.txt"), o sistema pode retornar objetos de arquivo que não são descendentes do diretório base, sem lançar uma exceção. Isso possibilita a leitura de arquivos confidenciais, como arquivos de configuração, chaves de API ou dados de usuários, que não deveriam ser acessíveis. Em cenários mais graves, um atacante poderia até mesmo modificar arquivos críticos do sistema, comprometendo a integridade da aplicação e do servidor.
A vulnerabilidade foi divulgada em 23 de março de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A probabilidade de exploração é considerada média, dada a natureza da vulnerabilidade e a sua presença em aplicações Java amplamente utilizadas.
Applications and services that utilize Apache Commons VFS for file handling are at risk, particularly those that accept user-supplied file paths without proper validation. This includes web applications, file servers, and data processing pipelines. Legacy systems relying on older versions of Commons VFS are especially vulnerable.
• java / server:
find /path/to/your/app -name "commons-vfs2-*.jar" -print0 | xargs -0 jar -xf {} | grep -q 'resolveFile(String, NameScope)'• generic web:
curl -I 'http://your-app/path/../sensitive_file.txt' # Check for directory traversal responsesdisclosure
Status do Exploit
EPSS
0.85% (percentil 75%)
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2025-27553 é a atualização para a versão 2.10.0 do Apache Commons VFS. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação rigorosa de todos os caminhos de arquivo fornecidos pelo usuário, a restrição de permissões de acesso a arquivos e diretórios sensíveis e a utilização de um Web Application Firewall (WAF) para bloquear solicitações maliciosas. Monitore logs de acesso e erros em busca de padrões suspeitos de exploração.
Actualice Apache Commons VFS a la versión 2.10.0 o superior. Esta versión corrige la vulnerabilidad de path traversal. Reemplace la versión anterior de la biblioteca por la nueva en su proyecto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade que permite o acesso não autorizado a arquivos em aplicações Java que utilizam o Apache Commons VFS versões anteriores a 2.10.0, devido à manipulação inadequada de caracteres ".." codificados.
Sim, se você estiver utilizando o Apache Commons VFS em versões anteriores a 2.10.0, você está potencialmente afetado. Verifique a versão em uso e atualize o mais rápido possível.
A correção recomendada é atualizar para a versão 2.10.0 do Apache Commons VFS. Se a atualização não for imediata, implemente medidas de segurança adicionais, como validação de caminhos e WAF.
Não há informações confirmadas sobre exploração ativa no momento da publicação, mas a probabilidade é considerada média devido à natureza da vulnerabilidade.
Consulte o site do Apache Commons VFS para obter informações oficiais e atualizações sobre a vulnerabilidade: [https://commons.apache.org/vfs/](https://commons.apache.org/vfs/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.