Uma nova vulnerabilidade no Apache InLong, identificada como CVE-2025-27522, permite execução remota de código e afeta as versões 1.13.0 a 2.1.0 da plataforma. O problema decorre da desserialização de dados não confiáveis durante a verificação JDBC, o que pode ser explorado por invasores para executar comandos arbitrários.
Leia também
Microcredenciais de IA favorecem candidatos
EUA anunciam sanções contra uso de chips Huawei
A falha serve como uma alternativa de exploração para a vulnerabilidade CVE-2024-26579 e está associada ao identificador CWE-502, que abrange falhas de desserialização insegura. Embora ainda não haja relatos de exploração ativa, o risco é elevado, pois o ataque pode ser feito remotamente e sem interação do usuário.
A vulnerabilidade foi publicada oficialmente em 28 de maio na lista de discussão do Apache por Charles Zhang. Segundo o aviso, usuários devem atualizar para a versão 2.2.0 ou aplicar o patch correspondente disponível no GitHub (Pull Request #11732).
A pontuação CVSS v3.1 para o CVE-2025-27522 varia entre 5,3 e 6,5, o que representa um nível de severidade moderado a alto. O Apache recomenda medidas adicionais, como restringir fontes de dados serializados e implementar validações rigorosas para reduzir os riscos.
