一、漏洞详情
Apache MINA(Multipurpose Infrastructure for Network Applications)是一个高性能的网络通信框架。
近日,监测到Apache MINA中存在一个反序列化远程代码执行漏洞(CVE-2024-52046)。Apache MINA多个受影响版本中存在反序列化远程代码执行漏洞,由于Apache MINA的ObjectSerializationDecoder组件使用了Java原生反序列化协议来处理传入的序列化数据,但缺乏必要的安全检查和防御机制,攻击者可通过向受影响的应用程序发送特制的恶意序列化数据,利用不安全的反序列化过程触发该漏洞,从而可能导致远程代码执行。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻
二、影响范围
Apache MINA 2.0.X < 2.0.27
Apache MINA 2.1.X < 2.1.10
Apache MINA 2.2.X < 2.2.4
三、修复建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
Apache MINA 2.0.X >= 2.0.27
Apache MINA 2.1.X >= 2.1.10
Apache MINA 2.2.X >= 2.2.4