A vulnerabilidade, representada pelo CVE-2024-52046, acarreta o score máximo de risco no Apache MINA.

O Apache MINA é usado principalmente por causa das API's assíncronas, que facilitam a programação em redes na camada de transporte (TCP e UDP). A falha está presente no componente ObjectSerializationDecoder, cujo decoder usa uma deserialização nativa de java para processar os dados e que revelou problemas graves de segurança.

Sem sanitização, o atacante conseguia mandar dados maliciosos serializados que, quando processados pelo componente vulnerável supracitado, podiam originar execução de código remota e consequentemente levar ao controlo total do sistema pelo atacante.

Versões afetadas

• Apache MINA 2.0.0 até 2.0.26

• Apache MINA 2.1.0 até 2.1.9

• Apache MINA 2.2.0 até 2.2.3

Caso as aplicações usem o método  IoBuffer#getObject() e a classe ObjectSerializationCodecFactory então estão vulneráveis e deve ser tomada ação imediata sobre as mesmas.

As versões afetadas devem ser atualizadas assim que possível seguindo o advisory oficial.

Versões corrigidas

• Apache MINA 2.0.27

• Apache MINA 2.1.10

• Apache MINA 2.2.4

Advisory oficial: https://mina.apache.org/mina-project/