Diese Seite wurde noch nicht in Ihre Sprache übersetzt. Inhalte werden auf Englisch angezeigt, während wir daran arbeiten.
💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.
CVE-2026-41635: Insecure Deserialization in Apache MINA
Plattform
java
Komponente
apache-mina
Behoben in
2.0.28
CVE-2026-41635 describes a critical insecure deserialization vulnerability discovered in Apache MINA. This flaw allows attackers to bypass security checks and potentially execute arbitrary code on vulnerable systems. The vulnerability affects versions 2.0.0 through 2.2.5 of Apache MINA, impacting applications that utilize its IoBuffer functionality. A fix is available in versions 2.0.28, 2.1.11, and 2.2.6.
Erkenne diese CVE in deinem Projekt
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.
Auswirkungen und Angriffsszenarien
Die CVE-2026-41635-Schwachstelle in Apache MINA betrifft Versionen vor 2.0.28, 2.1.10 und 2.2.5. Sie befindet sich in der Methode AbstractIoBuffer.resolveClass(), wo ein Zweig des Codes, der für statische Klassen oder primitive Typen vorgesehen ist, den Klassennamen nicht ordnungsgemäß validiert. Dies ermöglicht die Umgehung der Klassennamen-Allowlist und ermöglicht die Ausführung von beliebigem Code. Die Schwachstelle wird mit einem CVSS-Score von 9,8 bewertet, was ein kritisches Risiko anzeigt. Ein Angreifer könnte diese Schwäche ausnutzen, um bösartigen Code in das System einzuschleusen und auszuführen, wodurch die Integrität und Vertraulichkeit der Daten gefährdet werden.
Ausnutzungskontext
Die Ausnutzung dieser Schwachstelle erfordert, dass ein Angreifer in der Lage ist, den Namen der Klasse zu beeinflussen, die über AbstractIoBuffer.resolveClass() geladen wird. Dies könnte in Szenarien auftreten, in denen Benutzereingaben verwendet werden, um die zu ladende Klasse zu bestimmen, oder wenn der Angreifer die Kontrolle über die Konfiguration der Anwendung hat, die Apache MINA verwendet. Das Fehlen einer ordnungsgemäßen Validierung des Klassennamens ermöglicht es dem Angreifer, eine bösartige Klasse anzugeben, die dann im Kontext der Anwendung geladen und ausgeführt wird. Die Komplexität der Ausnutzung kann je nach Architektur der Anwendung und den vorhandenen Sicherheitsmaßnahmen variieren.
Bedrohungsanalyse
Exploit-Status
EPSS
0.14% (33% Perzentil)
CISA SSVC
CVSS-Vektor
Was bedeuten diese Metriken?
- Attack Vector
- Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
- Attack Complexity
- Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
- Privileges Required
- Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
- User Interaction
- Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
- Scope
- Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
- Confidentiality
- Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
- Integrity
- Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
- Availability
- Hoch — vollständiger Absturz oder Ressourcenerschöpfung. Totaler Denial of Service.
Betroffene Software
Schwachstellen-Klassifikation (CWE)
Zeitleiste
- Reserviert
- Veröffentlicht
- Geändert
- EPSS aktualisiert
Mitigation und Workarounds
Die Lösung für diese Schwachstelle besteht darin, auf eine Version von Apache MINA zu aktualisieren, die die Korrektur enthält. Betroffene Versionen sind Apache MINA 2.0.0 <= 2.0.27, 2.1.0 <= 2.1.10 und 2.2.0 <= 2.2.5. Die behobenen Versionen sind Apache MINA 2.0.28, 2.1.11 und 2.2.6. Die implementierte Korrektur prüft, ob die Klasse im akzeptierten Klassendfilter vorhanden ist, bevor Class.forName() aufgerufen wird, wodurch die Ausführung von nicht autorisiertem Code verhindert wird. Es wird dringend empfohlen, auf die neueste stabile Version zu aktualisieren, um dieses Risiko zu mindern. Wenn ein sofortiges Update nicht möglich ist, überprüfen Sie den Code und wenden Sie zusätzliche Sicherheitsmaßnahmen an, um den Zugriff auf die Klasse AbstractIoBuffer einzuschränken.
So behebenwird übersetzt…
Actualice Apache MINA a la versión 2.0.28 o superior, 2.1.11 o superior, o 2.2.6 o superior. Estas versiones aplican una validación más estricta de los nombres de clase durante la deserialización de objetos, previniendo la ejecución de código arbitrario.
Häufig gestellte Fragen
Was ist CVE-2026-41635 — Insecure Deserialization in Apache MINA?
Betroffene Versionen sind Apache MINA 2.0.0 <= 2.0.27, 2.1.0 <= 2.1.10 und 2.2.0 <= 2.2.5.
Bin ich von CVE-2026-41635 in Apache MINA betroffen?
Überprüfen Sie die Version von Apache MINA, die in Ihrer Anwendung verwendet wird. Wenn Sie eine betroffene Version verwenden, ist ein Update erforderlich.
Wie behebe ich CVE-2026-41635 in Apache MINA?
Wenn ein sofortiges Update nicht möglich ist, sollten Sie zusätzliche Sicherheitsmaßnahmen implementieren, um den Zugriff auf die Klasse AbstractIoBuffer einzuschränken.
Wird CVE-2026-41635 aktiv ausgenutzt?
Ein Angreifer könnte beliebigen Code auf dem System ausführen, wodurch die Integrität und Vertraulichkeit der Daten gefährdet werden.
Wo finde ich den offiziellen Apache MINA-Hinweis für CVE-2026-41635?
Sie finden weitere Informationen zu dieser Schwachstelle auf der Seite CVE-2026-41635 in Vulnerabilitätsdatenbanken wie der National Vulnerability Database (NVD).
Ist dein Projekt betroffen?
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Erkenne diese CVE in deinem Projekt
Lade deine pom.xml-Datei hoch und wir sagen dir sofort, ob du betroffen bist.
Scannen Sie jetzt Ihr Java / Maven-Projekt – kein Konto
Laden Sie Ihr pom.xml hoch und erhalten Sie den Schwachstellenbericht sofort. Kein Konto. Das Hochladen der Datei ist nur der Anfang: mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack-/E-Mail-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.
Abhängigkeitsdatei hier ablegen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...