Plataforma
java
Componente
c3p0
Corregido en
0.12.0
La biblioteca c3p0, utilizada para el pooling de conexiones JDBC en aplicaciones Java, presenta una vulnerabilidad de ejecución remota de código (RCE). Esta falla se debe a la manipulación de objetos Java serializados y a la propiedad userOverridesAsString en las implementaciones ConnectionPoolDataSource. La vulnerabilidad afecta a versiones desde 0.0.0 hasta la versión 0.12.0 (exclusiva) y permite a un atacante ejecutar código arbitrario en el servidor.
Un atacante que explote esta vulnerabilidad podría ejecutar código malicioso en el servidor donde se ejecuta la aplicación Java que utiliza c3p0. Esto podría resultar en la toma de control completa del sistema, robo de datos confidenciales, o la instalación de malware. La propiedad userOverridesAsString permite la inyección de código a través de objetos serializados, lo que facilita la ejecución de comandos arbitrarios. La severidad de este impacto se agrava por la amplia adopción de c3p0 en diversas aplicaciones empresariales, lo que amplía la superficie de ataque potencial.
Esta vulnerabilidad ha sido publicada el 26 de febrero de 2026. La probabilidad de explotación es considerada alta debido a la facilidad con la que se puede explotar la vulnerabilidad mediante objetos serializados maliciosos. No se han reportado campañas de explotación activas a la fecha, pero la disponibilidad de información sobre la vulnerabilidad aumenta el riesgo de que se utilice en ataques futuros. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Applications utilizing c3p0 for database connection pooling, particularly those handling external configuration data or user input that influences connection pool settings, are at risk. Systems with older, unpatched c3p0 installations are especially vulnerable. Shared hosting environments where multiple applications share the same c3p0 instance could also be affected, as a compromise in one application could potentially impact others.
• java / server:
# Check c3p0 version
java -version
# Inspect application logs for suspicious connection pool configuration changes
# Use a security scanner to identify vulnerable applications using c3p0• generic web:
# Check for unusual serialized object data in request parameters or headers
# Monitor application logs for errors related to deserializationdisclosure
Estado del Exploit
EPSS
0.17% (38% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar la biblioteca c3p0 a la versión 0.12.0 o superior, donde se ha corregido el problema. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de los datos de entrada y la restricción de los permisos de la cuenta de usuario que ejecuta la aplicación. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso. Después de la actualización, verificar que la propiedad userOverridesAsString se maneje de forma segura y no permita la inyección de código.
Actualice la biblioteca c3p0 a la versión 0.12.0 o superior para mitigar la vulnerabilidad de ejecución remota de código. Además, asegúrese de que la dependencia mchange-commons-java sea 0.4.0 o superior, ya que c3p0 depende de ella para mitigar vulnerabilidades relacionadas con JNDI. Esta actualización corrige la forma en que se manejan las propiedades `userOverridesAsString`, utilizando un formato CSV seguro en lugar de la deserialización de objetos Java.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27830 is a Remote Code Execution vulnerability in c3p0 versions 0.0.0 through 0.11.9. Malicious serialized objects can exploit the userOverridesAsString property, allowing attackers to execute code.
If you are using c3p0 versions 0.0.0 through 0.11.9, you are potentially affected. Check your application dependencies and upgrade immediately.
Upgrade to c3p0 version 0.12.0 or later. As a temporary workaround, sanitize external data used to configure the userOverridesAsString property.
While no public exploits are currently available, the vulnerability's nature makes it a likely target. Proactive patching is recommended.
Refer to the c3p0 project's official website and relevant security mailing lists for updates and advisories.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.