Brodmart

**Nome do Software Vulnerável e Versões Afetadas** Hyperledger Fabric versões 1.0.0 até 2.2.26 **Descrição** No SDK de cliente depreciado `fabric-sdk-java`, o arquivo `Channel.java` implementa `readObject()` e expõe a função `deSerializeChannel()`, ambas as quais chamam `ObjectInputStream.readObject()` em matrizes de bytes não confiáveis sem configurar um `ObjectInputFilter`. Isso cria um problema de desserialização Java onde um invasor que consiga fornecer bytes de Canal serializados e manipulados — por exemplo, comprometendo um arquivo de canal local ou injetando dados por meio de um aplicativo — pode alcançar a execução remota de código (RCE) via exploração de cadeia de gadgets. Este é um problema do lado do cliente e não envolve dados transmitidos de pares Fabric. **Recomendações** Migrar para `org.hyperledger.fabric:fabric-gateway`, que não utiliza a serialização Java. Como uma solução temporária para o SDK depreciado, adicione um `ObjectInputFilter` para permitir apenas classes esperadas dentro da função `deSerializeChannel()`.