CVE-2026-41862 Spring Statemachine RCE
A vulnerabilidade afeta as versões do Spring Statemachine que utilizam backends de persistência baseados em Kryo, permitindo a deserialização de dados não confiáveis e levando a execução remota de código dentro da JVM. Isso ocorre devido à falta de uma lista de permissões de classes, tornando possível a exploração por um atacante. O impacto real é a possibilidade de execução de código arbitrário no contexto da aplicação.
CVE: CVE-2026-41862
Severidade: HIGH
Resumo:
A vulnerabilidade afeta as versões do Spring Statemachine que utilizam backends de persistência baseados em Kryo, permitindo a deserialização de dados não confiáveis e levando a execução remota de código dentro da JVM. Isso ocorre devido à falta de uma lista de permissões de classes, tornando possível a exploração por um atacante. O impacto real é a possibilidade de execução de código arbitrário no contexto da aplicação.
CVSS: 8.8