La Apache Software Foundation (ASF) ha lanzado parches para abordar una vulnerabilidad de máxima gravedad en el mina Marco de aplicación de red Java que podría resultar en la ejecución remota de código en condiciones específicas.
Seguimiento como CVE-2024-52046la vulnerabilidad tiene una puntuación CVSS de 10,0. Afecta a las versiones 2.0.X, 2.1.X y 2.2.X.
“ObjectSerializationDecoder en Apache MINA utiliza el protocolo de deserialización nativo de Java para procesar datos serializados entrantes, pero carece de las defensas y controles de seguridad necesarios”, afirman los mantenedores del proyecto. dicho en un aviso publicado el 25 de diciembre de 2024.
“Esta vulnerabilidad permite a los atacantes explotar el proceso de deserialización enviando datos serializados maliciosos especialmente diseñados, lo que podría conducir a ataques de ejecución remota de código (RCE)”.
Sin embargo, cabe señalar que la vulnerabilidad solo se puede explotar si se invoca el método “IoBuffer#getObject()” en combinación con ciertas clases como ProtocolCodecFilter y ObjectSerializationCodecFactory.
“La actualización no será suficiente: también es necesario permitir explícitamente las clases que el decodificador aceptará en la instancia de ObjectSerializationDecoder, utilizando uno de los tres nuevos métodos”, dijo Apache.
La divulgación se produce días después de que la ASF remediara múltiples fallas que abarcaban Tomcat (CVE-2024-56337), Traffic Control (CVE-2024-45387) y HugeGraph-Server (CVE-2024-43441).
A principios de este mes, Apache también solucionó una falla de seguridad crítica en el marco de la aplicación web Struts (CVE-2024-53677) que un atacante podría aprovechar para obtener la ejecución remota de código. Desde entonces se han detectado intentos activos de explotación.
Se recomienda encarecidamente a los usuarios de estos productos que actualicen sus instalaciones a las últimas versiones lo antes posible para protegerse contra posibles amenazas.
About the Author
