Description
A vulnerability classified as critical has been found in Shenzhen Dashi Tongzhou Information Technology AgileBPM up to 2.5.0. Affected is the function parseStrByFreeMarker of the file /src/main/java/com/dstz/sys/rest/controller/SysToolsController.java. The manipulation of the argument str leads to deserialization. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used.
Es wurde eine kritische Schwachstelle in Shenzhen Dashi Tongzhou Information Technology AgileBPM bis 2.5.0 entdeckt. Hiervon betroffen ist die Funktion parseStrByFreeMarker der Datei /src/main/java/com/dstz/sys/rest/controller/SysToolsController.java. Durch das Beeinflussen des Arguments str mit unbekannten Daten kann eine deserialization-Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk angegangen werden. Der Exploit steht zur öffentlichen Verfügung.
Problem types
Product status
2.1
2.2
2.3
2.4
2.5.0
Timeline
| 2025-06-04: | Advisory disclosed |
| 2025-06-04: | VulDB entry created |
| 2025-06-04: | VulDB entry last update |
Credits
VulDB Gitee Analyzer
References
vuldb.com/?id.311166 (VDB-311166 | Shenzhen Dashi Tongzhou Information Technology AgileBPM SysToolsController.java parseStrByFreeMarker deserialization)
vuldb.com/?ctiid.311166 (VDB-311166 | CTI Indicators (IOB, IOC, IOA))
vuldb.com/?submit.585127 (Submit #585127 | https://www.tongzhouyun.com/ https://gitee.com/agile-bpm/agile-bpm-basic v2.8 (the latest version code submitted as of 20250526) Code)
gitee.com/agile-bpm/agile-bpm-basic/issues/ICAQWG