Escanear gratis

Esta página aún no ha sido traducida a tu idioma. Mostrando contenido en inglés mientras trabajamos en ello.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

CRITICALCVE-2026-41635CVSS 9.8

CVE-2026-41635: Insecure Deserialization in Apache MINA

Plataforma

java

Componente

apache-mina

Corregido en

2.0.28

Ver en NVD
Guardar
Traduciendo a tu idioma…

CVE-2026-41635 describes a critical insecure deserialization vulnerability discovered in Apache MINA. This flaw allows attackers to bypass security checks and potentially execute arbitrary code on vulnerable systems. The vulnerability affects versions 2.0.0 through 2.2.5 of Apache MINA, impacting applications that utilize its IoBuffer functionality. A fix is available in versions 2.0.28, 2.1.11, and 2.2.6.

Java / Maven

Detecta esta CVE en tu proyecto

Sube tu archivo pom.xml y te decimos al instante si estás afectado.

Subir pom.xmlFormatos soportados: pom.xml · build.gradle

Impacto y Escenarios de Ataque

La vulnerabilidad CVE-2026-41635 en Apache MINA afecta a versiones anteriores a 2.0.28, 2.1.10 y 2.2.5. Se encuentra en el método AbstractIoBuffer.resolveClass(), donde una bifurcación del código, destinada a clases estáticas o tipos primitivos, no realiza una verificación adecuada del nombre de la clase. Esto permite eludir la lista de control de acceso (allowlist) de nombres de clase, abriendo la puerta a la ejecución de código arbitrario. La severidad de esta vulnerabilidad se califica con un CVSS de 9.8, indicando un riesgo crítico. Un atacante podría explotar esta falla para inyectar y ejecutar código malicioso en el sistema, comprometiendo la integridad y confidencialidad de los datos.

Contexto de Explotación

La explotación de esta vulnerabilidad requiere que un atacante pueda influir en el nombre de la clase que se intenta cargar a través de AbstractIoBuffer.resolveClass(). Esto podría ocurrir en escenarios donde la entrada del usuario se utiliza para determinar la clase a cargar, o si el atacante tiene control sobre la configuración de la aplicación que utiliza Apache MINA. La falta de validación adecuada del nombre de la clase permite al atacante especificar una clase maliciosa, que luego se carga y ejecuta en el contexto de la aplicación. La complejidad de la explotación puede variar dependiendo de la arquitectura de la aplicación y las medidas de seguridad existentes.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta
Informes1 informe de amenaza

EPSS

0.14% (33% percentil)

CISA SSVC

Explotaciónnone
Automatizableyes
Impacto Técnicototal

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredNoneNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Ninguno — sin autenticación. No se necesitan credenciales para explotar.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componenteapache-mina
ProveedorApache Software Foundation
Versión mínima2.0.0
Versión máxima2.2.5
Corregido en2.0.28

Clasificación de Debilidad (CWE)

CWE-502

Cronología

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS actualizado

Mitigación y Workarounds

La solución para esta vulnerabilidad es actualizar a una versión de Apache MINA que incluya la corrección. Las versiones afectadas son Apache MINA 2.0.0 <= 2.0.27, 2.1.0 <= 2.1.10, y 2.2.0 <= 2.2.5. Las versiones corregidas son Apache MINA 2.0.28, 2.1.11 y 2.2.6. La corrección implementada verifica si la clase está presente en el filtro de clases aceptadas antes de llamar a Class.forName(), previniendo la ejecución de código no autorizado. Se recomienda encarecidamente actualizar a la última versión estable disponible para mitigar este riesgo. Si la actualización inmediata no es posible, se recomienda revisar el código y aplicar medidas de seguridad adicionales para restringir el acceso a la clase AbstractIoBuffer.

Cómo corregirlotraduciendo…

Actualice Apache MINA a la versión 2.0.28 o superior, 2.1.11 o superior, o 2.2.6 o superior. Estas versiones aplican una validación más estricta de los nombres de clase durante la deserialización de objetos, previniendo la ejecución de código arbitrario.

Preguntas frecuentes

¿Qué es CVE-2026-41635 — Insecure Deserialization en Apache MINA?

Las versiones vulnerables son Apache MINA 2.0.0 <= 2.0.27, 2.1.0 <= 2.1.10, y 2.2.0 <= 2.2.5.

¿Estoy afectado/a por CVE-2026-41635 en Apache MINA?

Verifique la versión de Apache MINA que está utilizando en su aplicación. Si está utilizando una versión vulnerable, es necesario actualizar.

¿Cómo soluciono CVE-2026-41635 en Apache MINA?

Si no puede actualizar inmediatamente, considere implementar medidas de seguridad adicionales para restringir el acceso a la clase AbstractIoBuffer.

¿Está siendo explotado activamente CVE-2026-41635?

Un atacante podría ejecutar código arbitrario en el sistema, comprometiendo la integridad y confidencialidad de los datos.

¿Dónde encuentro el aviso oficial de Apache MINA para CVE-2026-41635?

Puede encontrar más información sobre esta vulnerabilidad en la página de CVE-2026-41635 en bases de datos de vulnerabilidades como el National Vulnerability Database (NVD).

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
Java / Maven

Detecta esta CVE en tu proyecto

Sube tu archivo pom.xml y te decimos al instante si estás afectado.

Subir pom.xmlFormatos soportados: pom.xml · build.gradle
liveescaneo gratuito

Escanea tu proyecto Java / Maven ahora — sin cuenta

Sube tu pom.xml y recibís el reporte de vulnerabilidades al instante. Sin cuenta. Subir el archivo es solo el inicio: con una cuenta tenés monitoreo continuo, alertas en Slack/email, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...