CVE-2026-41409

Nome do Software Vulnerável e Versões Afetadas Apache MINA versões 2.0.0 até 2.0.27 Apache MINA versões 2.1.0 até 2.1.10 Apache MINA versões 2.2.0 até 2.2.5

Description Existe um problema na função getObject() da classe AbstractIoBuffer devido a um mecanismo de desserialização incompleto. A lista de permissões (allowlist) de nomes de classes, que restringe quais classes podem ser desserializadas, é aplicada tarde demais, permitindo potencialmente que um inicializador estático em uma classe seja executado antes que a verificação ocorra. Essa falha permite que um invasor remoto execute código arbitrário em aplicações que chamam a função getObject().

Recommendations Atualizar para a versão 2.0.28 para as versões 2.0.0 até 2.0.27. Atualizar para a versão 2.1.11 para as versões 2.1.0 até 2.1.10. Atualizar para a versão 2.2.6 para as versões 2.2.0 até 2.2.5. Como medida paliativa temporária, restrinja o uso da função getObject().