PT-2026-54850 · Unknown · Mchange-Commons-Java
4Ra1N
+1
·
Publicado
2026-07-01
·
Atualizado
2026-07-01
·
CVE-2026-55153
CVSS v3.1
7.1
Alta
| Vetor | AV:A/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
mchange-commons-java versões anteriores a 0.6.0
Descrição
A implementação JNDI ObjectFactory
com.mchange.v2.naming.JavaBeanObjectFactory permite a construção de objetos de classes arbitrárias e a inicialização de propriedades no estilo JavaBean. Esse comportamento possibilita a injeção de JNDI e o uso de gadgets de desserialização, que são sequências de código executável que podem ser disparadas durante a desserialização de um objeto. Por exemplo, configurar a propriedade contentType de um Swing JEditorPane para text/html e a propriedade text para HTML contendo um <link> de folha de estilo pode provocar uma requisição HTTP GET para uma URL arbitrária. O problema é agravado pelo ReferenceIndirector, através do qual objetos de Referência JNDI maliciosos podem ser introduzidos para desreferenciação sempre que uma aplicação lê um objeto serializado em Java.Recomendações
Atualizar para a versão 0.6.0.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Mchange-Commons-Java