Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-41635 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-27 |
| Producent | Apache Software Foundation |
| Produkt | Apache MINA |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Metoda
AbstractIoBuffer.resolveClass()w Apache MINA zawiera dwie gałęzie. Jedna z nich (dla klas statycznych lub typów prymitywnych) nie weryfikuje klasy w ogóle, co umożliwia obejście allowlist nazw klas i wykonanie dowolnego kodu.Poprawka sprawdza, czy klasa znajduje się w zaakceptowanym filtrze klas, zanim zostanie wywołana metoda
Class.forName().Podatne wersje to Apache MINA 2.0.0 <= 2.0.27, 2.1.0 <= 2.1.10 oraz 2.2.0 <= 2.2.5. Problem został rozwiązany w Apache MINA 2.0.28, 2.1.11 i 2.2.6.
Wymagane działania
Niezwłocznie zaktualizuj Apache MINA do wersji 2.0.28, 2.1.11 lub 2.2.6 (zależnie od używanej linii). Do czasu wdrożenia patcha unikaj deserializacji obiektów Java z niezaufanych źródeł i rozważ wprowadzenie globalnego filtra deserializacji JVM (-Djdk.serialFilter=...). Sprawdź zależności tranzytywne aplikacji Java pod kątem starszych wersji MINA.
Kogo dotyczy?
Podatność dotyczy produktu Apache MINA dostarczanego przez Apache Software Foundation. Sprawdź czy Twoja organizacja korzysta z Apache MINA do deserializacji obiektów Java i niezwłocznie zaktualizuj wszystkie instancje do wersji zawierających poprawkę.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
