Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-42779 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-05-01 |
| Producent | Apache Software Foundation |
| Produkt | Apache MINA |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | 0.0% (percentyl: 14%) |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Poprawka dla CVE-2026-41635 nie została zastosowana w gałęziach 2.1.X i 2.2.X. Pierwotny opis podatności:
Funkcja
AbstractIoBuffer.resolveClass()w Apache MINA zawiera dwie gałęzie kodu - jedna z nich (dla klas statycznych lub typów prymitywnych) nie sprawdza klasy w ogóle, omijając allowlistę nazw klas i pozwalając na wykonanie dowolnego kodu.Poprawka sprawdza, czy klasa znajduje się na zaakceptowanej liście filtra przed wywołaniem
Class.forName().Wersje podatne to Apache MINA w gałęziach 2.1.X (<= 2.1.11) oraz 2.2.X (<= 2.2.6); poprawka dostępna jest w nowszych wydaniach.
Wymagane działania
Niezwłocznie zaktualizuj Apache MINA do wersji zawierającej poprawkę w obu gałęziach 2.1.X (>= 2.1.12) i 2.2.X (>= 2.2.7). Do czasu aktualizacji nie akceptuj zserializowanych danych z niezaufanych źródeł oraz wymuś restrykcyjną politykę class-filter. Audytuj zależności projektowe (mvn dependency:tree, gradle dependencies) pod kątem podatnych wersji Apache MINA.
Kogo dotyczy?
Podatność dotyczy produktu Apache MINA firmy Apache Software Foundation w gałęziach 2.1.X i 2.2.X. Sprawdź czy Twoja organizacja używa Apache MINA jako biblioteki sieciowej i wdroż aktualizację.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
