CVE-2026-27830

Nome do Software Vulnerável e Versões Afetadas Versões do c3p0 anteriores a 0.12.0

Descrição O c3p0, uma biblioteca de pooling de conexões JDBC, é suscetível a ataques através de objetos serializados em Java criados maliciosamente e instâncias de javax.naming.Reference. Especificamente, a propriedade userOverridesAsString em várias implementações de ConnectionPoolDataSource, que representa um Map<String,Map<String,String>>, era anteriormente mantida como um objeto serializado codificado em hexadecimal. Um atacante que consiga modificar esta propriedade, seja diretamente ou através de objetos serializados maliciosos ou instâncias de javax.naming.Reference, poderia potencialmente executar código arbitrário no CLASSPATH da aplicação. Este risco é amplificado por vulnerabilidades na dependência do c3p0, mchange-commons-java, que inclui funcionalidade JNDI com suporte sem restrições para valores remotos de factoryClassLocation. Atacantes poderiam aproveitar isso para definir userOverridesAsString com objetos indiretamente serializados via referências JNDI, levando ao download e execução de código malicioso a partir de um factoryClassLocation remoto. O uso de codificação hexadecimal de objetos serializados em Java para uma propriedade Java-Bean gravável exposta através de interfaces JNDI é uma preocupação de segurança significativa.

Recomendações Atualize para a versão 0.12.0 ou posterior do c3p0.