Zhang Zewei

**Nome do software vulnerável e versões afetadas** Versões do Apache MINA SSHD <= 2.9.1 **Descrição** O problema está relacionado à classe org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider no Apache MINA SSHD, que utiliza a deserialização Java para carregar um java.security.PrivateKey serializado. Isso pode permitir que um invasor remoto execute código arbitrário. A classe é uma das várias implementações que podem ser escolhidas para carregar as chaves do host de um servidor SSH. **Recomendações** Para versões do Apache MINA SSHD <= 2.9.1, considere atualizar para uma versão superior a 2.9.1 para resolver o problema. Como solução alternativa temporária, considere restringir o uso da classe SimpleGeneratorHostKeyProvider até que um patch esteja disponível. Evite usar o mecanismo de desserialização Java para carregar objetos java.security.PrivateKey serializados na classe afetada.