jar-Archiv Apache beanutils_1.9.4.jar wird in alter sicherheitskritischer Version verwendet

Ich habe unter Linux Mint 22.2 Portfolio Performance installiert und hierzu euer Installationsfile (https://github.com/portfolio-performance/portfolio/releases/download/0.80.4/PortfolioPerformance-0.80.4-linux.gtk.x86_64.tar.gz) verwendet.
Das Programm läuft soweit gut, aber es verwendet noch die alte Version des Apache jar-archives beanutils 1.9.4. Diese Version ist im Ordner /opt/performance nach der Installation abgelegt.
Gibt es einen Grund, warum ihr diese Version noch verwendet und nicht die aktuelle Version commons-beanutils-1.11.0.jar?

Es heisst, dass das Apache Commons BeanUtils 1.9.4 JAR-Archiv eine bekannte Sicherheitslücke mit der Kennung CVE-2025-48734 aufweist. Diese Sicherheitslücke betrifft eine unsachgemäße Zugriffskontrolle, bei der ein Angreifer über bestimmte Property-Zugriffe auf Enum-Klassen im Java-Code den ClassLoader ausnutzen und somit potentiell beliebigen Code ausführen kann. Die Schutzklasse zur Unterdrückung dieses Zugriffs wurde zwar ab Version 1.9.2 eingeführt, war aber in 1.9.4 nicht standardmäßig aktiviert.

Die Schwachstelle gilt als kritisch mit einem CVSS-Basiswert von 8,8 und betrifft alle Versionen vor 1.11.0. Ab Version 1.11.0 wurde diese Sicherheitslücke behoben, indem die problematische Property “declaredClass” standardmäßig gesperrt wird.

Ich habe es mal gegen die neue Version im Ordner /opt/portfolio ausgetauscht, aber danach läuft Portfolio Performance nicht mehr. Ist hier ein Upgrade auf die neue Version geplant?

Weiss jemand hierzu etwas? Danke für ein kurzes Update

Das ist eine “upstream” Abhängigkeit. Die nächste Version wird auch das Eclipse Framework auf 2025-09 aktualisieren. Ich prüfe ob damit auch eine aktuellere beanutils dabei ist.

If an application using Commons BeanUtils passes property paths from an external source directly to the getProperty() method of PropertyUtilsBean, an attacker can access the enum’s class loader via the “declaredClass” property available on all Java “enum” objects.

Es gibt aktuell meines Wissens keinen Dialog dessen Eingabe direkt an BeanUtils weitergeleitet wird.

Danke Andreas für die schnelle Antwort.
Dann scheint es ja nicht so kritisch zu sein, und die darüberliegenden Layer können die korrekten Zugriffe sicherstellen.
Bin gespannt, wie es in der neuen Version aussieht.
Danke für das tolle Programm,
Rolf

Und selbst wenn, kann man sich doch damit nur selbst angreifen. Interessanter wäre es beim Verarbeiten von PDF-Importen. Dann wäre zumindest theoretisch ein Angriff von Seiten Dritter denkbar. Oder beim Einlesen anderer Daten von außen (DivvyDiary, Kurslieferanten, etc.).

Ich habe gerade geschaut - in der nächsten Version ist beanutils nicht dabei.

Danke für die Info Andreas, dann ist es ja bald kein Thema mehr, egal ob kritisch oder nicht.

P.S. Ich war echt überrascht über die schnellen guten Antworten, top!