CVE-2026-42778 in MINA
Resumen
por VulDB • 2026-06-01
La corrección para CVE-2026-41409 no se aplicó a las ramas 2.1.X y 2.2.X. A continuación se presenta la descripción original del problema:
La corrección para CVE-2024-52046 en Apache MINA AbstractIoBuffer.getObject() era incompleta. La lista blanca de nombres de clase (classname allowlist) de las clases permitidas para ser deserializadas se aplicaba demasiado tarde, después de que un inicializador estático en una clase que iba a ser leída ya pudiera haberse ejecutado.
Las versiones afectadas son Apache MINA 2.1.0 <= 2.1.11, y 2.2.0 <= 2.2.6.
El problema se resuelve en Apache MINA 2.1.12 y 2.2.7 aplicando la lista blanca de nombres de clase (classname allowlist) antes.
Se ven afectadas las aplicaciones que utilizan Apache MINA y que llaman a IoBuffer.getObject().
Se recomienda a las aplicaciones que utilizan Apache MINA que actualicen.
La corrección para CVE-2024-52046 en Apache MINA AbstractIoBuffer.getObject() era incompleta. La lista blanca de nombres de clase (classname allowlist) de las clases permitidas para ser deserializadas se aplicaba demasiado tarde, después de que un inicializador estático en una clase que iba a ser leída ya pudiera haberse ejecutado.
Las versiones afectadas son Apache MINA 2.1.0 <= 2.1.110, y 2.2.0 <= 2.2.6.
El problema se resuelve en Apache MINA 2.1.12 y 2.2.7 aplicando la lista blanca de nombres de clase (classname allowlist) antes.
Se ven afectadas las aplicaciones que utilizan Apache MINA y que llaman a IoBuffer.getObject().
Se recomienda a las aplicaciones que utilizan Apache MINA que actualicen.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.