CVE-2025-3984: Apereo CAS Groovy Code RegisteredServiceSimpleFormController.java saveService code injection
Description
A vulnerability was found in Apereo CAS 5.2.6 and classified as critical. Affected by this issue is the function saveService of the file cas-5.2.6\webapp-mgmt\cas-management-webapp-support\src\main\java\org\apereo\cas\mgmt\services\web\RegisteredServiceSimpleFormController.java of the component Groovy Code Handler. The manipulation leads to code injection. The attack may be launched remotely. The complexity of an attack is rather high. The exploitation is known to be difficult. The exploit has been disclosed to the public and may be used. The vendor was contacted early about this disclosure but did not respond in any way. Eine Schwachstelle wurde in Apereo CAS 5.2.6 gefunden. Sie wurde als kritisch eingestuft. Davon betroffen ist die Funktion saveService der Datei cas-5.2.6\webapp-mgmt\cas-management-webapp-support\src\main\java\org\apereo\cas\mgmt\services\web\RegisteredServiceSimpleFormController.java der Komponente Groovy Code Handler. Durch die Manipulation mit unbekannten Daten kann eine code injection-Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk erfolgen. Die Komplexität eines Angriffs ist eher hoch. Sie ist schwierig ausnutzbar. Der Exploit steht zur öffentlichen Verfügung.
Classification
CVE ID: CVE-2025-3984
CVSS Base Severity: MEDIUM
CVSS Base Score: 5.0
CVSS Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L
Affected Products
Vendor: Apereo
Product: CAS
Exploit Prediction Scoring System (EPSS)
EPSS Score: 0.05% (probability of being exploited)
EPSS Percentile: 13.77% (scored less or equal to compared to others)
EPSS Date: 2025-05-26 (when was this score calculated)
References
https://nvd.nist.gov/vuln/detail/CVE-2025-3984https://vuldb.com/?id.306320
https://vuldb.com/?ctiid.306320
https://vuldb.com/?submit.557100
https://wx.mail.qq.com/s?k=ilW4ixcMaVgGU49Dij