目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1310

100%
请我们喝杯咖啡

CVE-2026-47065— Apache MINA 代码问题漏洞

CVSS 9.8 · Critical EPSS 0.06% · P19

影响版本矩阵 3

厂商产品版本范围状态
Apache Software FoundationApache MINA2.2.0< 2.2.8affected
2.1.0< 2.1.13affected
2.0.0< 2.0.29affected
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-47065 基础信息

漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
Apache MINA: Critical Deserialization Allow-list Bypass via resolveProxyClass - ZDRES-232
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
ZDRES-232: resolveProxyClass Not Overridden - acceptMatchers Filter Bypass via java.lang.reflect.Proxy Assessment: Fully addressed. When the serialised stream contains a TC_PROXYCLASSDESC (the marker for a java.lang.reflect.Proxy ), JDK’s ObjectInputStream.readProxyDesc() is dispatched. JDK then calls the default ObjectInputStream.resolveProxyClass(interfaces) implementation, which performs Class.forName(intf, false, latestUserDefinedLoader()) for EACH interface name and constructs the proxy class — bypassing the accepted classes list . ZDRES-233: Class.forName(name, initialize=true, classLoader) in readClassDescriptor Triggers Static Initialiser of Allow-Listed Classes Assessment: Fully addressed. For ANY class on the allow-list, deserialising a stream that names it triggers the class’s (static initialiser) BEFORE any instance is constructed. This means an attacker who supplies a class name on the allow-list (e.g., the developer wrote accept(“com.myapp.*") , attacker supplies com.myapp.SomeClass ) causes <clinit> of SomeClass — and many real-world classes have side-effecting static initialisers Both issues have been fixed.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
可信数据的反序列化
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
Apache MINA 代码问题漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
Apache MINA是美国阿帕奇(Apache)基金会的一款网络应用程序框架。该产品主要用于开发高性能和高可伸缩性的网络应用程序。 Apache MINA存在代码问题漏洞,该漏洞源于resolveProxyClass未覆盖导致acceptMatchers过滤器绕过以及允许列表类的静态初始化器触发,可能导致反序列化攻击。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商产品影响版本CPE订阅
Apache Software FoundationApache MINA 2.2.0 ~ 2.2.8 -

二、漏洞 CVE-2026-47065 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-47065 的情报信息

登录查看更多情报信息。

CVE-2026-47065 邮件列表归档 (1)

IV. Related Vulnerabilities

Same product: Apache MINA
Same vendor: Apache Software Foundation
Same weakness: CWE-502

V. Comments for CVE-2026-47065

暂无评论

发表评论