CVE-2025-46392

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-46392
Uncontrolled Resource Consumption vulnerability in Apache Commons Configuration 1.x. There are a number of issues in Apache Commons Configuration 1.x that allow excessive resource consumption when loading untrusted configurations or using unexpected usage patterns. The Apache Commons Configuration team does not intend to fix these issues in 1.x. Apache Commons Configuration 1.x is still safe to use in scenario's where you only load trusted configurations. Users that load untrusted configurations or give attackers control over usage patterns are recommended to upgrade to the 2.x version line, which fixes these issues. Apache Commons Configuration 2.x is not a drop-in replacement, but as it uses a separate Maven groupId and Java package namespace they can be loaded side-by-side, making it possible to do a gradual migration.

6.5 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://lists.apache.org/thread/y1pl0mn3opz6kwkm873zshjdxq3dwq5s
https://www.cve.org/CVERecord?id=CVE-2024-29131
https://www.cve.org/CVERecord?id=CVE-2024-29133
Configurations

No configuration.

History

13 May 2025, 20:15

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 6.5

12 May 2025, 17:32

Type Values Removed Values Added
Summary
  • (es) Vulnerabilidad de consumo incontrolado de recursos en Apache Commons Configuration 1.x. Existen varios problemas en Apache Commons Configuration 1.x que permiten un consumo excesivo de recursos al cargar configuraciones no confiables o usar patrones de uso inesperados. El equipo de Apache Commons Configuration no tiene previsto solucionar estos problemas en la versión 1.x. Apache Commons Configuration 1.x sigue siendo seguro en escenarios donde solo se cargan configuraciones confiables. Se recomienda a los usuarios que cargan configuraciones no confiables o que otorgan a los atacantes control sobre los patrones de uso que actualicen a la versión 2.x, que soluciona estos problemas. Apache Commons Configuration 2.x no es un reemplazo directo, pero al usar un ID de grupo de Maven y un espacio de nombres de paquete Java independientes, se pueden cargar en paralelo, lo que permite una migración gradual.

09 May 2025, 10:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-05-09 10:15

Updated : 2025-05-13 20:15

NVD link : CVE-2025-46392

Mitre link : CVE-2025-46392

CVE.ORG link : CVE-2025-46392

JSON object : View

Products Affected

No product.

CWE
CWE-400

Uncontrolled Resource Consumption