Java網路應用程式框架Apache MINA存在風險滿分的重大漏洞

12月25日Apache基金會發布Java網路應用程式框架Apache MINA更新2.2.4、2.1.10、2.0.27版，主要是為了修補遠端程式碼執行（RCE）漏洞CVE-2024-52046，這項漏洞影響2.0.0至2.2.3版，CVSS風險評分達到10分（滿分10分），相當危險。

MINA（Multipurpose Infrastructure for Network Applications）是開源的網路應用程式框架，其特色是提供抽象事件導向異步API，而能夠簡化網路應用程式的TCP/IP、UDP/IP等網路傳輸。而這項漏洞出現在ObjectSerializationDecoder元件，此元件透過Java原生去序列化通訊協定處理輸入的序列化資料，但缺乏必要的安全檢查及防禦機制而產生這項弱點。

若是攻擊者想要利用這項漏洞，他們會透過發送特製的惡意序列化資料，透過反序列化處理程序觸發漏洞，從而遠端執行任意程式碼。

附帶一提的是，這項漏洞出現必須搭配特定條件，那就是採用MINA核心程式庫的應用程式運作過程裡，指定類別與實體新增過程裡受到特定的方法IoBuffer#getObject()呼叫，其MINA核心程式就會受到影響。

關於漏洞的善後，Apache基金會特別提及，IT人員光是部署更新無法完全緩解漏洞，還要明確地在ObjectSerializationDecoder允許特定類別的解碼器，並提及有3種方法可用。