CVE-2026-27727

Nome do Software Vulnerável e Versões Afetadas mchange-commons-java versões anteriores a 0.4.0

Descrição O mchange-commons-java, uma biblioteca que fornece utilitários Java, contém código que replica implementações antigas do JNDI, incluindo suporte a valores remotos de factoryClassLocation. Isso permite o download e a execução potenciais de código malicioso se um aplicativo processar um objeto javax.naming.Reference ou serializado especialmente criado. Embora o JDK tenha proteções padrão contra esse comportamento por meio da propriedade do sistema com.sun.jndi.ldap.object.trustURLCodebase, a implementação independente do JNDI do mchange-commons-java contorna essas proteções. Isso significa que bibliotecas como c3p0, que utilizam o mchange-commons-java para resolução de JNDI, podem ser exploradas mesmo com um JDK hardened. A funcionalidade JNDI da biblioteca agora está protegida por parâmetros de configuração que, por padrão, possuem valores restritivos a partir da versão 0.4.0. O endpoint da API não é explicitamente mencionado. O parâmetro vulnerável é factoryClassLocation.

Recomendações Atualize para a versão 0.4.0 ou posterior do mchange-commons-java. Evite utilizar versões do mchange-commons-java anteriores a 0.4.0 nos CLASSPATHs do aplicativo.