Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-42778 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-05-01 |
| Producent | Apache Software Foundation |
| Produkt | Apache MINA |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | 0.0% (percentyl: 14%) |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Poprawka dla CVE-2026-41409 nie została zastosowana w gałęziach 2.1.X i 2.2.X. Pierwotny opis podatności:
Poprawka dla CVE-2024-52046 w
Apache MINA AbstractIoBuffer.getObject()była niekompletna. Allowlista klas dopuszczonych do deserializacji była stosowana zbyt późno - statyczny inicjalizator klasy, która miała zostać odczytana, mógł zostać już wykonany.Wersje podatne to Apache MINA 2.1.0 <= 2.1.11 oraz 2.2.0 <= 2.2.6.
Problem został rozwiązany w Apache MINA 2.1.12 oraz nowszych wydaniach gałęzi 2.2.X.
Wymagane działania
Niezwłocznie zaktualizuj Apache MINA do wersji 2.1.12 (gałąź 2.1.X) lub odpowiedniego wydania naprawiającego dla gałęzi 2.2.X (>= 2.2.7). Do czasu aktualizacji nie deserializuj danych pochodzących z niezaufanych źródeł poprzez AbstractIoBuffer.getObject() i rozważ wymuszenie konfiguracji klasy filter z bardzo restrykcyjną allowlistą. Przejrzyj logi aplikacji wykorzystujących MINA pod kątem nieoczekiwanych deserializacji.
Kogo dotyczy?
Podatność dotyczy produktu Apache MINA firmy Apache Software Foundation w gałęziach 2.1.X i 2.2.X. Sprawdź czy Twoja organizacja używa Apache MINA jako biblioteki sieciowej w aplikacjach Java i wdroż aktualizację.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
