漏洞关键信息 概述 标题: c3p0 prior to v0.12.0 can be dangerously abused to download and execute malicious code 发布者: swaldman CVE ID: CVE-2026-27830 GHSA ID: GHSA-5476-xc4j-rqcv 发布日期: 3 days ago 影响范围 受影响版本: - c3p0: <0.12.0 - c3p0-loom: <0.12.0 修复版本: - c3p0: 0.12.0+ - c3p0-loom: 0.12.0+ 漏洞描述 c3p0中的 属性在v0.12.0之前是一个hex-encoded序列化对象,攻击者可以重置该属性或通过恶意序列化对象远程执行代码。 mchange-commons-java库中的漏洞进一步加剧了c3p0的脆弱性,可能导致从远程服务器下载并执行恶意代码。 修复措施 属性已被重新实现为使用安全的CSV格式,避免潜在危险的Java对象反序列化。 c3p0-0.12.0+和更高版本依赖mchange-commons-java 0.4.0+,通过配置参数限制 值以防止远程代码执行。 建议 用户应升级到c3p0-0.12.0或更高版本,没有支持的早先版本的变通方法。 CVSS v4基础度量 严重性: 高(8.9/10) 基础度量: - Attack Vector: Adjacent - Attack Complexity: Low - Privileges Required: Low - User Interaction: None - Confidentiality: High - Integrity: High - Availability: High 弱点 无相关CVE弱点记录 致谢 报告者: dpp