CVE-2026-41586

Nome do Software Vulnerável e Versões Afetadas Hyperledger Fabric versões 1.0.0 até 2.2.26

Descrição No SDK de cliente depreciado fabric-sdk-java, o arquivo Channel.java implementa readObject() e expõe a função deSerializeChannel(), ambas as quais chamam ObjectInputStream.readObject() em matrizes de bytes não confiáveis sem configurar um ObjectInputFilter. Isso cria um problema de desserialização Java onde um invasor que consiga fornecer bytes de Canal serializados e manipulados — por exemplo, comprometendo um arquivo de canal local ou injetando dados por meio de um aplicativo — pode alcançar a execução remota de código (RCE) via exploração de cadeia de gadgets. Este é um problema do lado do cliente e não envolve dados transmitidos de pares Fabric.

Recomendações Migrar para org.hyperledger.fabric:fabric-gateway, que não utiliza a serialização Java. Como uma solução temporária para o SDK depreciado, adicione um ObjectInputFilter para permitir apenas classes esperadas dentro da função deSerializeChannel().