Apache MINA の脆弱性 CVE-2026-42778/42779 が FIX:デシリアライズ欠陥と RCE の恐れ

New Apache MINA Vulnerabilities Open Door to Remote Code Execution Attacks

2026/05/04 gbhackers — Apache MINA プロジェクトが公開したのは、2 件の深刻な脆弱性 CVE-2026-42778/CVE-2026-42779 に対処する緊急のセキュリティ・アップデートである。これらの脆弱性を悪用するリモート攻撃者は、任意のコード実行を可能にする。すでに Apache MINA の開発チームは、バージョン 2.2.7/2.1.12 をリリースし、これらの問題に対処している。

Apache MINA は、高性能なネットワーク・アプリケーションを構築するために広く利用されているフレームワークである。今回の脆弱性は、以前のアップデートで修正される予定であったが、内部的なマージ・エラーによってセキュリティ修正コードが 2 つの特定ブランチに反映されていなかった。この見落としを受け、開発チームは修正プログラムを公開し、ユーザーの保護を促進している。

脆弱性の詳細

今回のセキュリティ・アップデートは、このフレームワークが受信ネットワーク・データを処理するプロセスに存在する 2 件の脆弱性に対処するものだ。

  • CVE-2026-42778 (CVSS:9.8):この欠陥は、信頼されていないデータのデシリアライズ処理に関連する。デシリアライズは、ネットワーク転送形式のデータを使用可能な Java オブジェクトへ変換するプロセスであるが、適切な検証なしに未知のソースからのデータを受け入れるため、データ・パケットの改変と有害なシステム・コマンドの埋め込みを、攻撃者に許すことになる。
  • CVE-2026-42779 (CVSS:9.8):この欠陥により、リモート・コード実行 (RCE) が可能になる。原因は、AbstractIoBuffer.resolveClass() メソッド内の特定のコード分岐において、重要なセキュリティ・フィルタである acceptMatchers が省略されていることにある。このバイパスにより、完全なオブジェクト・デシリアライズが実行され、ターゲット・サーバ上での任意のコード実行を、攻撃者に許す経路が生じる。

なお、これら 2 件の脆弱性が影響を及ぼす範囲は、接続されたクライアントから送信された Java クラスのデシリアライズに使用される、AbstractIoBuffer.getObject() メソッドを実装しているアプリケーションに限定される。

アプリケーションが、このメソッドを用いてクライアント入力を処理している場合には、高いリスクにさらされる。攻撃者は、細工された悪意のペイロードを送信することで、このデシリアライズの欠陥を誘発し、内部セキュリティ・フィルタをバイパスしてアプリケーションを侵害する可能性がある。その結果として、ネットワーク全体に対する侵害や、深刻なデータ窃取に発展する恐れがある。

対策

開発者およびセキュリティ・チームにとって必要なことは、最優先でアップデートに対応することだ。RCE 攻撃からネットワーク・アプリケーションを保護するためには、直ちにフレームワークを更新することが不可欠である。

具体的な対応として、2.1.x ブランチを使用している場合には、Apache MINA バージョン 2.1.12 へアップグレードする。初期の発表時には誤記があったが、安全で正しいバージョンは 2.0.12 ではなく 2.1.12 である。また、2.2.x ブランチを使用している場合には、Apache MINA バージョン 2.2.7 へとアップグレードする必要がある。

修正済みリリースは、公式の Apache MINA ダウンロード・ページから入手可能である。各チームは速やかにコード・ベースを監査し、影響を受けるメソッドの使用箇所を特定した上で、必要なパッチを遅延なく適用すべきである。

訳者後書:今回の脆弱性である CVE-2026-42778 と CVE-2026-42779 の原因は、本来は適用されるはずだった修正が、内部的なマージ・エラーにより特定のブランチに反映されなかった点にあります。技術的な側面では、デシリアライズというデータ変換の過程で適切な検証が行われなかったり、本来は機能すべきセキュリティ・フィルタがプログラムの分岐によって回避されたりすることで、外部から送り込まれた悪意のコードが実行されてしまう状態にあります。特に AbstractIoBuffer.resolveClass() メソッドなどにおいて、チェック機能が働かずに Java オブジェクトがそのまま復元されてしまう仕組みは、攻撃の糸口となってしまいます。ご利用のチームは、ご注意ください。よろしければ、Apache MINA での検索結果も、ご参照ください。