目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2026-41635— Apache MINA 代码问题漏洞

CVSS 9.8 · Critical EPSS 0.14% · P33
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-41635の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Apache MINA: AbstractIoBuffer.resolveClass() null-clazz Branch Skips acceptMatchers Filter — Full Object Deserialization RCE
ソース: NVD (National Vulnerability Database)
脆弱性説明
Apache MINA's AbstractIoBuffer.resolveClass() contains two branches, one of them (for static classes or primitive types) does not check the class at all, bypassing the classname allowlist and allowing arbitrary code to be executed. The fix checks if the class is present in the accepted class filter before calling Class.forName().  Affected versions are Apache MINA 2.0.0 <= 2.0.27, 2.1.0 <= 2.1.10, and 2.2.0 <= 2.2.5. The problem is resolved in Apache MINA 2.0.28, 2.1.11, and 2.2.6 by applying the classname allowlist earlier. Affected are applications using Apache MINA that call  IoBuffer.getObject(). Applications using Apache MINA are advised to upgrade.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
可信数据的反序列化
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Apache MINA 代码问题漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Apache MINA是美国阿帕奇(Apache)基金会的一款网络应用程序框架。该产品主要用于开发高性能和高可伸缩性的网络应用程序。 Apache MINA 2.0.0版本至2.0.27版本、2.1.0版本至2.1.10版本和2.2.0版本至2.2.5版本存在代码问题漏洞,该漏洞源于AbstractIoBuffer.resolveClass()中静态类或原始类型分支未检查类名允许列表,可能导致任意代码执行。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

Shenlong 10 Questions — AI 深度分析

十问解析:根本原因、利用方式、修复建议、紧迫性。摘要免费,完整版需登录。

查看摘要 完整分析(登录)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
Apache Software FoundationApache MINA 2.2.0 ~ 2.2.5 -

II. CVE-2026-41635の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-41635のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · Apache Software Foundation · 2026-04-27 · 13 CVEs total

CVE-2026-414099.8 CRITICALApache MINA: CWE-502 Deserialization of Untrusted Data
CVE-2026-40557Apache Storm Prometheus Reporter: Disabling TLS verification for Prometheus Reporter also
CVE-2026-41081Apache Storm Client: Anonymous principal assigned on TLS client certificate verification f
CVE-2026-27172Apache Camel: Unsafe Java deserialization in camel-consul ConsulRegistry allows arbitrary
CVE-2026-33453Apache Camel: CoAP URI Query Parameter to Exchange Header Injection in camel-coap Allows S
CVE-2026-33454Apache Camel: Inbound Header Filter Missing in MailHeaderFilterStrategy Allows Remote Code
CVE-2026-40022Apache Camel Platform HTTP Main: Authentication Bypass on Non-Root Context Paths in camel
CVE-2026-40858Apache Camel: Camel-Infinispan: Unsafe Deserialization in Remote Aggregation Repository
CVE-2026-40453Apache Camel JMS, Apache Camel CoAP, Apache Camel Google PubSub: Incomplete fix for CVE-20
CVE-2026-40860Apache Camel: Unsafe Deserialization of JMS ObjectMessage in camel-jms, camel-sjms, camel-
CVE-2026-40048Apache Camel PQC: Unsafe Deserialization from FileBasedKeyLifecycleManager
CVE-2026-40473Apache Camel Mina: Unsafe Deserialization in MinaConverter.toObjectInput() via TCP/UDP

IV. 関連脆弱性

同じ製品: Apache MINA
同じベンダー: Apache Software Foundation
同じ弱点: CWE-502

V. CVE-2026-41635へのコメント

まだコメントはありません

コメントを残す