CVE-2026-41409 in MINAinformación

Resumen

por VulDB • 2026-05-26

La corrección para CVE-2024-52046 en Apache MINA AbstractIoBuffer.getObject() era incompleta. La lista blanca de nombres de clase (classname allowlist) de las clases permitidas para ser deserializadas se aplicó demasiado tarde, después de que un inicializador estático en una clase que iba a ser leída ya pudiera haberse ejecutado.

Las versiones afectadas son Apache MINA 2.0.0 <= 2.0.27, 2.1.0 <= 2.1.10 y 2.2.0 <= 2.2.5.

El problema se resuelve en Apache MINA 2.0.28, 2.1.11 y 2.2.6 aplicando la lista blanca de nombres de clase más temprano.

Se ven afectadas las aplicaciones que utilizan Apache MINA y que llaman a IoBuffer.getObject().

Se recomienda a las aplicaciones que utilizan Apache MINA que actualicen.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Apache

Reservar

2026-04-20

Divulgación

2026-04-27

Moderación

aceptado

Artículo

VDB-359785

CPE

listo

EPSS

0.00278

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41409
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41409
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41409/

AnteriorVisión De ConjuntoPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!