Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-41409 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-27 |
| Producent | Apache Software Foundation |
| Produkt | Apache MINA |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | 0.0% (percentyl: 14%) |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Poprawka dla CVE-2024-52046 w metodzie
AbstractIoBuffer.getObject()w Apache MINA była niekompletna. Allowlist nazw klas dopuszczonych do deserializacji była stosowana zbyt późno - po tym, jak statyczny inicjalizator klasy mającej zostać odczytaną mógł już zostać wykonany.Podatne wersje to Apache MINA 2.0.0 <= 2.0.27, 2.1.0 <= 2.1.10 oraz 2.2.0 <= 2.2.5.
Problem został rozwiązany w Apache MINA 2.0.28, 2.1.11 i 2.2.6 przez wcześniejsze stosowanie allowlist nazw klas. Podatne są aplikacje korzystające z Apache MINA do deserializacji obiektów Java z niezaufanego źródła.
Wymagane działania
Niezwłocznie zaktualizuj Apache MINA do wersji 2.0.28, 2.1.11 lub 2.2.6 (zależnie od używanej linii). Do czasu wdrożenia patcha unikaj wywoływania AbstractIoBuffer.getObject() na danych pochodzących z niezaufanych źródeł oraz rozważ wprowadzenie własnego filtra deserializacji na poziomie JVM (-Djdk.serialFilter=...). Przejrzyj zależności tranzytywne projektów pod kątem starszych wersji MINA.
Kogo dotyczy?
Podatność dotyczy produktu Apache MINA dostarczanego przez Apache Software Foundation. Sprawdź czy Twoja organizacja korzysta z Apache MINA do deserializacji obiektów Java i niezwłocznie zaktualizuj wszystkie instancje do wersji zawierających poprawkę.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
