PT-2026-57107 · Apache · Apache Iotdb

Andrea Cosentino

·

Publicado

2026-07-10

·

Atualizado

2026-07-10

·

CVE-2026-40008

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Apache IoTDB versões 1.0.0 até 2.0.9
Descrição O processador de pipe lê um nome de classe Java totalmente qualificado e o instancia usando a função Class.forName().newInstance() sem validação ou lista de permissões. Essa reflexão insegura permite que um invasor force a instanciação de classes arbitrárias no classpath via RPC sem autenticação. Se uma classe gadget adequada estiver presente, isso pode levar à execução remota de código e ao comprometimento total do processo.
Recomendações Atualize para a versão 2.0.10.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-40008

Produtos afetados

Apache Iotdb