CVE-2026-42779 in MINAinformação

Sumário

de VulDB • 15/05/2026

A correção para CVE-2026-41635 não foi aplicada aos ramos 2.1.X e 2.2.X. Aqui está a descrição original do problema:

O método AbstractIoBuffer.resolveClass() do Apache MINA possui dois ramos de execução; um deles (destinado a classes estáticas ou tipos primitivos) não verifica a classe em absoluto, contornando a lista de permissões de nomes de classe (allowlist) e permitindo a execução de código arbitrário.

A correção verifica se a classe está presente no filtro de classes aceitas antes de chamar Class.forName().

As versões afetadas são Apache MINA 2.1.0 <= 2.1.11 e 2.2.0 <= 2.2.6.

O problema foi resolvido no Apache MINA 2.1.12 e 2.2.7 aplicando a lista de permissões de nomes de classe (allowlist) mais cedo.

São afetadas as aplicações que utilizam o Apache MINA e chamam IoBuffer.getObject().

Recomenda-se que as aplicações que utilizam o Apache MINA atualizem para as versões corrigidas.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Apache

Reservar

29/04/2026

Divulgação

01/05/2026

Moderação

aceite

Entrada

VDB-360553

CPE

pronto

EPSS

0.00083

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42779
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42779
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42779/

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!