Keda

**Nome do Software Vulnerável e Versões Afetadas** Java (versões afetadas não especificadas) **Descrição** Existem dois problemas relacionados aos filtros de desserialização do Java. Primeiro, ocorre a evasão de um filtro quando um fluxo serializado contém um marcador `TC PROXYCLASSDESC` para um `java.lang.reflect.Proxy`. Nesse caso, o `ObjectInputStream.readProxyDesc()` é despachado e a implementação padrão de `ObjectInputStream.resolveProxyClass(interfaces)` é chamada. Esse processo executa `Class.forName(intf, false, latestUserDefinedLoader())` para cada nome de interface para construir a classe proxy, ignorando a lista de classes aceitas. Segundo, a desserialização de um fluxo que nomeia qualquer classe na lista de permissões aciona o inicializador estático (`<clinit>`) dessa classe antes que qualquer instância seja construída. Isso permite que um invasor acione inicializadores estáticos com efeitos colaterais ao fornecer um nome de classe que corresponda aos padrões da lista de permissões. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.