CVE-2026-41635

Nome do Software Vulnerável e Versões Afetadas Apache MINA versões 2.0.0 a 2.0.27 Apache MINA versões 2.1.0 a 2.1.10 Apache MINA versões 2.2.0 a 2.2.5

Description Uma falha na função resolveClass() do AbstractIoBuffer permite ignorar a lista de permissões (allowlist) de nomes de classes para classes estáticas ou tipos primitivos. Isso ocorre porque um dos ramos de execução não valida a classe, permitindo a desserialização insegura quando as aplicações chamam IoBuffer.getObject(). Isso pode levar à execução remota de código.

Recommendations Atualizar para a versão 2.0.28 para as versões 2.0.0 a 2.0.27. Atualizar para a versão 2.1.11 para as versões 2.1.0 a 2.1.10. Atualizar para a versão 2.2.6 para as versões 2.2.0 a 2.2.5.