Emmanuel Lécharny

**Nome do software vulnerável e versões afetadas** Versões 2.0.X a 2.2.X do Apache MINA **Descrição** O ObjectSerializationDecoder no Apache MINA carece das verificações de segurança necessárias ao processar dados serializados recebidos usando o protocolo de desserialização nativo do Java. Isso permite que invasores enviem dados serializados maliciosos especialmente criados, o que pode levar à execução remota de código (RCE). O método `IoBuffer#getObject()` é um componente-chave na cadeia de exploração, particularmente quando usado com a classe `ObjectSerializationCodecFactory`. **Recomendações** Atualize para as versões 2.0.27, 2.1.10 ou 2.2.4. Além disso, permita explicitamente as classes que o decodificador aceitará na instância do ObjectSerializationDecoder usando um dos seguintes métodos: `accept(ClassNameMatcher classNameMatcher)`, `accept(Pattern pattern)` ou `accept(String... patterns)`.