CVE-2026-43825 in OpenNLPinformazioni

Riassunto

di VulDB • 06/07/2026

Deserializzazione Java non attendibile in Apache OpenNLP SvmDoccatModel

Versioni interessate: prima della 3.0.0-M4 (modulo di categorizzazione dei documenti libsvm; introdotto con OPENNLP-1808 e presente solo sulla linea 3.x)

Descrizione: SvmDoccatModel.deserialize(InputStream) legge uno stream controllato dall'attaccante tramite java.io.ObjectInputStream ed esegue readObject() senza un ObjectInputFilter installato. ObjectInputStream istanzia ogni classe referenziata nello stream prima che l'oggetto risultante venga convertito (cast) in SvmDoccatModel; pertanto, la conversione successiva a readObject() viene eseguita solo dopo che il grafo dell'oggetto esterno è stato completamente deserializzato.

Se sulla classpath del consumatore è disponibile una catena di gadget per la deserializzazione Java, un payload costruito ad hoc fornito alla funzione deserialize() consente l'esecuzione di codice arbitrario nella JVM che lo carica. Apache OpenNLP non include nativamente catene di gadget note; il rischio reale riguarda pertanto le applicazioni downstream che incorporano il modulo libsvm insieme a dipendenze transitive vulnerabili. Il metodo è pubblico e statico, quindi qualsiasi chiamante può passare direttamente uno stream non attendibile ad esso.

L'impatto pratico consiste nell'esecuzione remota di codice (RCE) contro i processi che caricano istanze di SvmDoccatModel da origini non attendibili o semi-affidabili.

Mitigazione:

Gli utenti della versione 3.x dovrebbero effettuare l'aggiornamento alla versione 3.0.0-M4.

Gli utenti che non possono aggiornare immediatamente devono considerare tutti gli stream serializzati di SvmDoccatModel come input non attendibile, a meno che la loro provenienza non sia verificata, ed evitare di invocare SvmDoccatModel.deserialize() su stream forniti da utenti finali o recuperati da terze parti senza controlli di integrità.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

Apache

Prenotare

02/05/2026

Divulgazione

06/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.08786

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!