JavaBeansに対するリフレクションとClassLoader脆弱性 - ひがやすを blog などなどで触れられている今回のStrutsに始まった脆弱性の話ですが、BeansUtil系に限らず、文字列(XML/JSON)からJavaBeansを作る系のライブラリも危ないのでは？なんて思ってます。

独自のBeansUtilを持っているSpring Frameworkについてはざざっと

• spring-framework/spring-beans/src/main/java/org/springframework/beans/BeanUtils.java at 3.2.x · spring-projects/spring-framework · GitHub
• spring-framework/spring-beans/src/main/java/org/springframework/beans/CachedIntrospectionResults.java at 3.2.x · spring-projects/spring-framework · GitHub

を見てみましたが、なんかやばそうな気がしました。そもそも、見るのがここで合ってるかわかりませんが。

それと、JSONIC-1.3.3のソースもチェック。

• ファイル詳細: /tags/v1.3.3/jsonic-1.3/src/net/arnx/jsonic/JSON.java (head) - jsonic (svn) - JSONIC - SourceForge.JP
• ファイル詳細: /tags/v1.3.3/jsonic-1.3/src/net/arnx/jsonic/JSONReader.java (head) - jsonic (svn) - JSONIC - SourceForge.JP

正直わからん。なんとも言えない。