Scanner gratuitement

Cette page n'a pas encore été traduite dans votre langue. Affichage du contenu en anglais pendant que nous y travaillons.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

CRITICALCVE-2026-41635CVSS 9.8

CVE-2026-41635: Insecure Deserialization in Apache MINA

Plateforme

java

Composant

apache-mina

Corrigé dans

2.0.28

Voir sur NVD
Sauvegarder
Traduction vers votre langue…

CVE-2026-41635 describes a critical insecure deserialization vulnerability discovered in Apache MINA. This flaw allows attackers to bypass security checks and potentially execute arbitrary code on vulnerable systems. The vulnerability affects versions 2.0.0 through 2.2.5 of Apache MINA, impacting applications that utilize its IoBuffer functionality. A fix is available in versions 2.0.28, 2.1.11, and 2.2.6.

Java / Maven

Détecte cette CVE dans ton projet

Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.

Téléverser pom.xmlFormats supportés: pom.xml · build.gradle

Impact et Scénarios d'Attaquetraduction en cours…

The insecure deserialization flaw in Apache MINA allows an attacker to craft malicious serialized objects that, when processed by the AbstractIoBuffer.resolveClass() method, bypass the intended classname allowlist. This bypass enables the execution of arbitrary code, effectively granting the attacker control over the affected system. The potential impact is severe, ranging from complete system compromise to data exfiltration and denial of service. Given the nature of deserialization vulnerabilities, this flaw shares similarities with the Log4Shell vulnerability, where a crafted input can trigger remote code execution. The blast radius extends to any application leveraging Apache MINA for network communication, particularly those handling untrusted data.

Contexte d'Exploitationtraduction en cours…

CVE-2026-41635 was published on April 27, 2026. While no active exploitation campaigns have been publicly reported as of this writing, the vulnerability's critical severity and the potential for remote code execution suggest a high likelihood of exploitation. The vulnerability is not currently listed on KEV, but its EPSS score is likely to be assessed as high due to the ease of exploitation and potential impact. Public proof-of-concept (POC) code is anticipated to emerge, increasing the risk of widespread exploitation.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

EPSS

0.14% (percentile 33%)

CISA SSVC

Exploitationnone
Automatisableyes
Impact Techniquetotal

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredNoneNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityHighRisque de modification non autorisée de donnéesAvailabilityHighRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Aucun — sans authentification. Aucune identifiant requis pour exploiter.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability
Élevé — panne complète ou épuisement des ressources. Déni de service total.

Logiciel Affecté

Composantapache-mina
FournisseurApache Software Foundation
Version minimale2.0.0
Version maximale2.2.5
Corrigé dans2.0.28

Classification de Faiblesse (CWE)

CWE-502

Chronologie

  1. Réservé
  2. Publiée
  3. Modifiée
  4. EPSS mis à jour

Mitigation et Contournementstraduction en cours…

The primary mitigation for CVE-2026-41635 is to upgrade Apache MINA to a patched version: 2.0.28, 2.1.11, or 2.2.6. Before upgrading, assess the potential impact on existing application functionality, as changes in MINA versions could introduce compatibility issues. If a direct upgrade is not immediately feasible, consider implementing a Web Application Firewall (WAF) or proxy to filter potentially malicious serialized data. Specifically, configure the WAF to block requests containing suspicious deserialization patterns. Additionally, review and restrict the classes allowed for deserialization within your application's configuration. After upgrading, confirm the fix by attempting to trigger the deserialization process with a known malicious payload and verifying that it is blocked or handled safely.

Comment corrigertraduction en cours…

Actualice Apache MINA a la versión 2.0.28 o superior, 2.1.11 o superior, o 2.2.6 o superior. Estas versiones aplican una validación más estricta de los nombres de clase durante la deserialización de objetos, previniendo la ejecución de código arbitrario.

Questions fréquentestraduction en cours…

What is CVE-2026-41635 — Insecure Deserialization in Apache MINA?

CVE-2026-41635 is a critical vulnerability in Apache MINA versions 2.0.0–2.2.5 allowing attackers to bypass classname allowlists and execute arbitrary code via insecure deserialization. This flaw impacts applications using MINA's IoBuffer functionality.

Am I affected by CVE-2026-41635 in Apache MINA?

If you are using Apache MINA versions 2.0.0 through 2.2.5, you are potentially affected. Verify your version and upgrade to 2.0.28, 2.1.11, or 2.2.6 to mitigate the risk.

How do I fix CVE-2026-41635 in Apache MINA?

Upgrade Apache MINA to version 2.0.28, 2.1.11, or 2.2.6. Consider implementing WAF rules to filter malicious serialized data as an interim measure while planning the upgrade.

Is CVE-2026-41635 being actively exploited?

While no active exploitation campaigns have been publicly reported, the vulnerability's critical severity and potential for remote code execution suggest a high likelihood of exploitation in the future.

Where can I find the official Apache MINA advisory for CVE-2026-41635?

Refer to the Apache MINA project website and security mailing lists for the official advisory and updates regarding CVE-2026-41635: https://mina.apache.org/

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
Java / Maven

Détecte cette CVE dans ton projet

Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.

Téléverser pom.xmlFormats supportés: pom.xml · build.gradle
en directfree scan

Scannez votre projet Java / Maven maintenant — sans compte

Téléchargez votre pom.xml et obtenez le rapport de vulnérabilité instantanément. Pas de compte. Le téléchargement du fichier n'est qu'un début : avec un compte, vous bénéficiez d'une surveillance continue, d'alertes Slack/e-mail, de rapports multi-projets et en marque blanche.

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...