Apache MINA CVE-2024-52046：满分漏洞可通过不安全的序列化实现 RCE

Apache 软件基金会 (ASF) 已发布补丁来修复MINA Java 网络应用程序框架中一个最高严重性漏洞，该漏洞可能在特定条件下导致远程代码执行。

该漏洞编号为CVE-2024-52046，CVSS 评分为 10.0。该漏洞影响版本 2.0.X、2.1.X 和 2.2.X。

项目维护人员在 2024 年 12 月 25 日发布的公告中表示：“Apache MINA 中的 ObjectSerializationDecoder 使用 Java 的本机反序列化协议来处理传入的序列化数据，但缺乏必要的安全检查和防御。”

“此漏洞允许攻击者通过发送特制的恶意序列化数据来利用反序列化过程，从而可能导致远程代码执行（RCE）攻击。”

然而，值得注意的是，只有当“IoBuffer#getObject()”方法与某些类（例如 ProtocolCodecFilter 和 ObjectSerializationCodecFactory）结合调用时，该漏洞才可利用。

Apache 表示：“升级是不够的：您还需要使用三种新方法之一，明确允许解码器在 ObjectSerializationDecoder 实例中接受的类。”

此次披露是在 ASF 修复了 Tomcat（CVE-2024-56337）、Traffic Control（CVE-2024-45387）和 HugeGraph-Server（CVE-2024-43441）的多个漏洞几天后进行的。

本月初，Apache 还修复了 Struts Web 应用程序框架中的一个严重安全漏洞 ( CVE-2024-53677 )，攻击者可利用该漏洞获取远程代码执行。此后已检测到主动利用该漏洞的尝试。

强烈建议这些产品的用户尽快将其安装更新到最新版本，以防范潜在威胁。

新闻链接：

https://thehackernews.com/2024/12/apache-mina-cve-2024-52046-cvss-100.html

讲述普通人能听懂的安全故事