{"id":1505157,"date":"2024-12-27T08:04:47","date_gmt":"2024-12-27T08:04:47","guid":{"rendered":"https:\/\/teknomers.com\/es\/apache-mina-cve-2024-52046-falla-cvss-10-0-habilita-rce-a-traves-de-serializacion-insegura\/"},"modified":"2024-12-27T08:04:52","modified_gmt":"2024-12-27T08:04:52","slug":"apache-mina-cve-2024-52046-falla-cvss-10-0-habilita-rce-a-traves-de-serializacion-insegura","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/apache-mina-cve-2024-52046-falla-cvss-10-0-habilita-rce-a-traves-de-serializacion-insegura\/","title":{"rendered":"Apache MINA CVE-2024-52046: Falla CVSS 10.0 habilita RCE a trav\u00e9s de serializaci\u00f3n insegura"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>27 de diciembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Vulnerabilidad\/Seguridad del software<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

La Apache Software Foundation (ASF) ha lanzado parches para abordar una vulnerabilidad de m\u00e1xima gravedad en el mina<\/a> Marco de aplicaci\u00f3n de red Java que podr\u00eda resultar en la ejecuci\u00f3n remota de c\u00f3digo en condiciones espec\u00edficas.<\/p>\n

Seguimiento como CVE-2024-52046<\/a><\/strong>la vulnerabilidad tiene una puntuaci\u00f3n CVSS de 10,0. Afecta a las versiones 2.0.X, 2.1.X y 2.2.X.<\/p>\n

“ObjectSerializationDecoder en Apache MINA utiliza el protocolo de deserializaci\u00f3n nativo de Java para procesar datos serializados entrantes, pero carece de las defensas y controles de seguridad necesarios”, afirman los mantenedores del proyecto. dicho<\/a> en un aviso publicado el 25 de diciembre de 2024.<\/p>\n

“Esta vulnerabilidad permite a los atacantes explotar el proceso de deserializaci\u00f3n enviando datos serializados maliciosos especialmente dise\u00f1ados, lo que podr\u00eda conducir a ataques de ejecuci\u00f3n remota de c\u00f3digo (RCE)”.<\/p>\n

Sin embargo, cabe se\u00f1alar que la vulnerabilidad solo se puede explotar si se invoca el m\u00e9todo “IoBuffer#getObject()” en combinaci\u00f3n con ciertas clases como ProtocolCodecFilter y ObjectSerializationCodecFactory.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“La actualizaci\u00f3n no ser\u00e1 suficiente: tambi\u00e9n es necesario permitir expl\u00edcitamente las clases que el decodificador aceptar\u00e1 en la instancia de ObjectSerializationDecoder, utilizando uno de los tres nuevos m\u00e9todos”, dijo Apache.<\/p>\n

La divulgaci\u00f3n se produce d\u00edas despu\u00e9s de que la ASF remediara m\u00faltiples fallas que abarcaban Tomcat (CVE-2024-56337), Traffic Control (CVE-2024-45387) y HugeGraph-Server (CVE-2024-43441).<\/p>\n

A principios de este mes, Apache tambi\u00e9n solucion\u00f3 una falla de seguridad cr\u00edtica en el marco de la aplicaci\u00f3n web Struts (CVE-2024-53677) que un atacante podr\u00eda aprovechar para obtener la ejecuci\u00f3n remota de c\u00f3digo. Desde entonces se han detectado intentos activos de explotaci\u00f3n.<\/p>\n

Se recomienda encarecidamente a los usuarios de estos productos que actualicen sus instalaciones a las \u00faltimas versiones lo antes posible para protegerse contra posibles amenazas.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n