CVE-2026-47065

Nome do Software Vulnerável e Versões Afetadas Java (versões afetadas não especificadas)

Descrição Existem dois problemas relacionados aos filtros de desserialização do Java. Primeiro, ocorre a evasão de um filtro quando um fluxo serializado contém um marcador TC PROXYCLASSDESC para um java.lang.reflect.Proxy. Nesse caso, o ObjectInputStream.readProxyDesc() é despachado e a implementação padrão de ObjectInputStream.resolveProxyClass(interfaces) é chamada. Esse processo executa Class.forName(intf, false, latestUserDefinedLoader()) para cada nome de interface para construir a classe proxy, ignorando a lista de classes aceitas. Segundo, a desserialização de um fluxo que nomeia qualquer classe na lista de permissões aciona o inicializador estático (<clinit>) dessa classe antes que qualquer instância seja construída. Isso permite que um invasor acione inicializadores estáticos com efeitos colaterais ao fornecer um nome de classe que corresponda aos padrões da lista de permissões.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.