一、漏洞详情
apache mina(multipurpose infrastructure for network applications)是一个高性能的网络通信框架。
近日,监测到apache mina中存在一个反序列化远程代码执行漏洞(cve-2024-52046)。apache mina多个受影响版本中存在反序列化远程代码执行漏洞,由于apache mina的objectserializationdecoder组件使用了java原生反序列化协议来处理传入的序列化数据,但缺乏必要的安全检查和防御机制,攻击者可通过向受影响的应用程序发送特制的恶意序列化数据,利用不安全的反序列化过程触发该漏洞,从而可能导致远程代码执行。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
apache mina 2.0.x < 2.0.27
apache mina 2.1.x < 2.1.10
apache mina 2.2.x < 2.2.4
三、修复建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
apache mina 2.0.x >= 2.0.27
apache mina 2.1.x >= 2.1.10
apache mina 2.2.x >= 2.2.4
