Apache Software Foundation (ASF) telah merilis patch untuk mengatasi kerentanan tingkat keparahan maksimum dalam kerangka aplikasi jaringan MINA Java yang dapat mengakibatkan eksekusi kode jarak jauh dalam kondisi tertentu.
Dilacak sebagai CVE-2024-52046kerentanannya memiliki skor CVSS 10,0. Ini mempengaruhi versi 2.0.X, 2.1.X, dan 2.2.X.
“ObjectSerializationDecoder di Apache MINA menggunakan protokol deserialisasi asli Java untuk memproses data serial yang masuk tetapi tidak memiliki pemeriksaan keamanan dan pertahanan yang diperlukan,” kata pengelola proyek dalam sebuah nasihat yang dirilis pada 25 Desember 2024.
“Kerentanan ini memungkinkan penyerang untuk mengeksploitasi proses deserialisasi dengan mengirimkan data serial berbahaya yang dibuat khusus, yang berpotensi menyebabkan serangan eksekusi kode jarak jauh (RCE).”
Namun, perlu diperhatikan bahwa kerentanan hanya dapat dieksploitasi jika metode “IoBuffer#getObject()” dipanggil dalam kombinasi dengan kelas tertentu seperti ProtocolCodecFilter dan ObjectSerializationCodecFactory.
“Upgrade saja tidak cukup: Anda juga perlu secara eksplisit mengizinkan kelas yang akan diterima decoder dalam instance ObjectSerializationDecoder, menggunakan salah satu dari tiga metode baru,” kata Apache.
Pengungkapan ini terjadi beberapa hari setelah ASF memperbaiki beberapa kelemahan yang mencakup Tomcat (CVE-2024-56337), Traffic Control (CVE-2024-45387), dan HugeGraph-Server (CVE-2024-43441).
Awal bulan ini, Apache juga memperbaiki kelemahan keamanan penting dalam kerangka aplikasi web Struts (CVE-2024-53677) yang dapat disalahgunakan oleh penyerang untuk mendapatkan eksekusi kode jarak jauh. Upaya eksploitasi aktif telah terdeteksi.
Pengguna produk ini sangat disarankan untuk memperbarui instalasi mereka ke versi terbaru sesegera mungkin untuk melindungi dari potensi ancaman.
