La Fundación Apache (ASF) ha emitido actualizaciones para corregir una vulnerabilidad crítica en el framework de aplicaciones de red Java MINA, que podría permitir la ejecución de código remoto bajo ciertas condiciones específicas.
Designada como CVE-2024-52046, esta vulnerabilidad tiene una calificación CVSS de 10.0, el puntaje más alto. Afecta a las versiones 2.0.X, 2.1.X y 2.2.X.
«El componente ObjectSerializationDecoder en Apache MINA utiliza el protocolo nativo de deserialización de Java para manejar datos serializados entrantes, pero carece de las verificaciones y medidas de seguridad necesarias», explicaron los responsables del proyecto en un comunicado publicado el 25 de diciembre de 2024.
«Esta debilidad permite que los atacantes exploten el proceso de deserialización enviando datos serializados malintencionados especialmente diseñados, lo que podría llevar a ataques de ejecución remota de código (RCE).»
No obstante, es importante señalar que esta vulnerabilidad solo puede ser aprovechada si se utiliza el método «IoBuffer#getObject()» junto con ciertas clases como ProtocolCodecFilter y ObjectSerializationCodecFactory.
«Actualizar no será suficiente: también es necesario especificar explícitamente las clases que el decodificador permitirá en la instancia de ObjectSerializationDecoder, usando uno de los tres nuevos métodos disponibles», indicó Apache.
Este anuncio llega pocos días después de que la ASF resolviera varios fallos de seguridad en otros productos, como Tomcat (CVE-2024-56337), Traffic Control (CVE-2024-45387) y HugeGraph-Server (CVE-2024-43441).
Asimismo, a principios de diciembre, Apache corrigió una vulnerabilidad crítica en el framework de aplicaciones web Struts (CVE-2024-53677), que los atacantes podrían explotar para ejecutar código remotamente. Desde entonces, se han detectado intentos activos de explotación.
Se insta encarecidamente a los usuarios de estos productos a actualizar sus sistemas a las versiones más recientes lo antes posible para protegerse contra posibles riesgos de seguridad.
