JVNDB-2026-021692 | |
Apache Software FoundationのMINAにおける信頼できないデータのデシリアライゼーションに関する脆弱性 | |
| 概要 | |
ZDRES-232: resolveProxyClass がオーバーライドされていないことによる acceptMatchers フィルターバイパスについて、java.lang.reflect.Proxy 経由の問題を説明します。シリアライズされたストリームに TC_PROXYCLASSDESC(java.lang.reflect.Proxy のマーカー)が含まれる場合、JDK の ObjectInputStream.readProxyDesc() が呼び出されます。JDK はデフォルトの ObjectInputStream.resolveProxyClass(interfaces) 実装を呼び出し、それが各インターフェース名に対して Class.forName(intf, false, latestUserDefinedLoader()) を実行し、プロキシクラスを構築します。これにより、許可されたクラスリストをバイパスできる可能性があります。ZDRES-233: readClassDescriptor 内の Class.forName(name, initialize=true, classLoader) によって許可リスト上のクラスの静的初期化子がトリガーされる問題も存在しました。許可リスト上の任意のクラスについて、名称が指定されたストリームをデシリアライズすると、そのクラスの静的初期化子がインスタンス生成前に実行されます。これにより、攻撃者が許可リストにあるクラス名を指定すると、そのクラスの clinit が実行されます。多くの実世界のクラスは副作用のある静的初期化子を持っています。これらの問題は修正されました。 | |
| CVSS による深刻度 (CVSS とは?) | |
|
CVSS v3 による深刻度
基本値: 9.8 (緊急) [その他]
| |
| 影響を受けるシステム | |
|
| |
Apache Software Foundation | |
本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。 | |
| 想定される影響 | |
・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 | |
| 対策 | |
ベンダ情報を参照して適切な対策を実施してください。 | |
| ベンダ情報 | |
Apache Software Foundation | |
| CWEによる脆弱性タイプ一覧 CWEとは? | |
|
| |
| 共通脆弱性識別子(CVE) CVEとは? | |
|
| |
| 参考情報 | |
| |
| 更新履歴 | |
|
| 公表日 | 2026/06/03 |
| 登録日 | 2026/07/01 |
| 最終更新日 | 2026/07/01 |



