بنیاد نرمافزار Apache، برای رفع آسیبپذیری با شناسه CVE-2024-52046 و امتیاز CVSS 10.0 در چارچوب اپلیکیشن شبکه MINA Java که میتواند منجر به اجرای کد از راه دور (RCE) تحت شرایط خاص شود، وصلههایی را منتشر کرده است.
این آسیبپذیری ناشی از deserialization ناامن جاوا است که به طور بالقوه منجر به اجرای کد از راه دور (RCE) می شود و نسخههای MINA 2.0 تا 2.0.26، 2.1 تا 2.1.9 و 2.2 تا 2.2.3 را تحت تأثیر قرار میدهد. بر اساس اطلاعیه توسعهدهندگان پروژه: « ObjectSerializationDecoder در Apache MINA از پروتکل deserialization بومی جاوا جهت پردازش دادههای سریالی دریافتی استفاده میکند، اما فاقد بررسیهای امنیتی و دفاعی لازم است». این آسیبپذیری به نفوذگران اجازه میدهد تا با ارسال دادههای سریالی مخرب ساخته شده خاص از فرآیند deserialization سوء استفاده کنند که به طور بالقوه منجر به حملات اجرای کد از راه دور میشود.»
با این حال، لازم به ذکر است که آسیبپذیری مذکور تنها در صورتی قابل سوء استفاده است که متد “()IoBuffer#getObject” در ترکیب با کلاسهای خاصی مانند ProtocolCodecFilter و ObjectSerializationCodecFactory فراخوانی شود. این افشا چند روز پس از رفع نقصهای متعدد ASF انجام شد که شامل آسیبپذیری Time-of-check Time-of-use (TOCTOU) در Tomcat با شناسه CVE-2024-56337، نقص تزریق SQL با شناسه CVE-2024-45387 (امتیاز 9.9) در Traffic Control و آسیبپذیری عبور از احراز هویت با شناسه CVE-2024-43441 در HugeGraph-Server بود. Apache با انتشار نسخههای 2.0.27، 2.1.10 و 2.2.4 این نقص را برطرف کرد، که مؤلفه آسیبپذیر را با پیشفرضهای امنیتی سختگیرانهتر بهبود بخشید.
https://www.bleepingcomputer.com/news/security/apache-warns-of-critical-flaws-in-mina-hugegraph-traffic-control/
https://thehackernews.com/2024/12/apache-mina-cve-2024-52046-cvss-100.html
