PT-2026-54850 · Unknown · Mchange-Commons-Java

4Ra1N

+1

·

Publicado

2026-07-01

·

Atualizado

2026-07-01

·

CVE-2026-55153

CVSS v3.1

7.1

Alta

VetorAV:A/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas mchange-commons-java versões anteriores a 0.6.0
Descrição A implementação JNDI ObjectFactory com.mchange.v2.naming.JavaBeanObjectFactory permite a construção de objetos de classes arbitrárias e a inicialização de propriedades no estilo JavaBean. Esse comportamento possibilita a injeção de JNDI e o uso de gadgets de desserialização, que são sequências de código executável que podem ser disparadas durante a desserialização de um objeto. Por exemplo, configurar a propriedade contentType de um Swing JEditorPane para text/html e a propriedade text para HTML contendo um <link> de folha de estilo pode provocar uma requisição HTTP GET para uma URL arbitrária. O problema é agravado pelo ReferenceIndirector, através do qual objetos de Referência JNDI maliciosos podem ser introduzidos para desreferenciação sempre que uma aplicação lê um objeto serializado em Java.
Recomendações Atualizar para a versão 0.6.0.

Correção

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55153

Produtos afetados

Mchange-Commons-Java