CVE-2026-41586
KrytyczneStreszczenie
Hyperledger Fabric w wersjach od 1.0.0 do 2.2.26 zawiera podatność w klasie Channel.java, która implementuje metodę readObject() i eksponuje deSerializeChannel(). Metoda ta wywołuje ObjectInputStream.readObject() na nieufnych tablicach bajtów bez konfiguracji ObjectInputFilter, co prowadzi do klasycznego wzorca RCE związanym z deserializacją w Javie.
Ocena ryzyka
Podatność ta może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji korzystających z Hyperledger Fabric. Brak dostępnych poprawek zwiększa ryzyko wykorzystania tej luki.
Rekomendacja
Zaleca się unikanie używania podatnych wersji Hyperledger Fabric oraz monitorowanie dostępnych aktualizacji, gdyż w chwili publikacji brak jest publicznie dostępnych poprawek. Należy również rozważyć wdrożenie dodatkowych zabezpieczeń w celu ochrony przed potencjalnym wykorzystaniem tej podatności.
Oryginalny opis (angielski, źródło NVD)
Hyperledger Fabric is an enterprise-grade permissioned distributed ledger framework for developing solutions and applications. From versions 1.0.0 to 2.2.26, Channel.java implements readObject() and exposes deSerializeChannel() which call ObjectInputStream.readObject() on untrusted byte arrays without configuring an ObjectInputFilter. This is a classic Java deserialization RCE pattern. At time of publication, there are no publicly available patches.

