La Apache Software Foundation (ASF) ha enérgico parches para atracar una vulnerabilidad de máxima pesantez en el entorno de la aplicación de red MINA Java que podría resultar en la ejecución remota de código en condiciones específicas.
Seguimiento como CVE-2024-52046la vulnerabilidad tiene una puntuación CVSS de 10,0. Afecta a las versiones 2.0.X, 2.1.X y 2.2.X.
«ObjectSerializationDecoder en Apache MINA utiliza el protocolo de deserialización nativo de Java para procesar datos serializados entrantes, pero carece de las defensas y controles de seguridad necesarios», dijeron los mantenedores del tesina en un aviso publicado el 25 de diciembre de 2024.
«Esta vulnerabilidad permite a los atacantes explotar el proceso de deserialización enviando datos serializados maliciosos especialmente diseñados, lo que podría conducir a ataques de ejecución remota de código (RCE)».
Sin requisa, cerca de señalar que la vulnerabilidad solo se puede explotar si se invoca el método «IoBuffer#getObject()» en combinación con ciertas clases como ProtocolCodecFilter y ObjectSerializationCodecFactory.
«La puesta al día no será suficiente: asimismo es necesario permitir explícitamente las clases que el decodificador aceptará en la instancia de ObjectSerializationDecoder, utilizando uno de los tres nuevos métodos», dijo Apache.
La divulgación se produce días a posteriori de que la ASF remediara múltiples fallas que abarcaban Tomcat (CVE-2024-56337), Traffic Control (CVE-2024-45387) y HugeGraph-Server (CVE-2024-43441).
A principios de este mes, Apache asimismo solucionó una falta de seguridad crítica en el entorno de la aplicación web Struts (CVE-2024-53677) que un atacante podría servirse para obtener la ejecución remota de código. Desde entonces se han detectado intentos activos de explotación.
Se recomienda insistentemente a los usuarios de estos productos que actualicen sus instalaciones a las últimas versiones lo ayer posible para defenderse contra posibles amenazas.