CVE-2026-47065 in MINAИнформация

Сводка

по VulDB • 03.06.2026

ZDRES-232: Метод resolveProxyClass не переопределен — обход фильтра acceptMatchers через java.lang.reflect.Proxy

Оценка: Полностью устранено.

Когда сериализованный поток содержит TC_PROXYCLASSDESC (маркер для java.lang.reflect.Proxy), вызывается метод JDK ObjectInputStream.readProxyDesc(). Затем JDK вызывает реализацию по умолчанию ObjectInputStream.resolveProxyClass(interfaces), которая выполняет Class.forName(intf, false, latestUserDefinedLoader()) для ИМЕНИ КАЖДОГО интерфейса и создает класс прокси, тем самым обходя список разрешенных классов.

ZDRES-233: Метод Class.forName(name, initialize=true, classLoader) в readClassDescriptor запускает статический инициализатор классов из белого списка

Оценка: Полностью устранено.

Для ЛЮБОГО класса из белого списка десериализация потока, содержащего его имя, запускает статический инициализатор класса (static initializer) ДО создания любого экземпляра. Это означает, что атакующий, указавший имя класса из белого списка (например, разработчик написал accept(“com.myapp.*"), а атакующий предоставляет com.myapp.SomeClass), вызывает статический инициализатор SomeClass — и многие реальные классы имеют статические инициализаторы со побочными эффектами.

Обе проблемы исправлены.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

Apache

Резервировать

18.05.2026

Раскрытие

03.06.2026

Модерация

принято

Вход

VDB-368097

EPSS

0.00046

KEV

Нет

Деятельности

Средний

Источники

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-47065
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-47065
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-47065/

ПредыдущийОбзорДалее

Do you want to use VulDB in your project?

Use the official API to access entries easily!