PT-2024-9987 · Apache+1 · Apache Mina+1

Emmanuel Lécharny

·

Publicado

2024-12-24

·

Atualizado

2026-05-18

·

CVE-2024-52046

CVSS v4.0

10

Crítica

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Nome do software vulnerável e versões afetadas
Versões 2.0.X a 2.2.X do Apache MINA
Descrição
O ObjectSerializationDecoder no Apache MINA carece das verificações de segurança necessárias ao processar dados serializados recebidos usando o protocolo de desserialização nativo do Java. Isso permite que invasores enviem dados serializados maliciosos especialmente criados, o que pode levar à execução remota de código (RCE). O método IoBuffer#getObject() é um componente-chave na cadeia de exploração, particularmente quando usado com a classe ObjectSerializationCodecFactory.
Recomendações
Atualize para as versões 2.0.27, 2.1.10 ou 2.2.4. Além disso, permita explicitamente as classes que o decodificador aceitará na instância do ObjectSerializationDecoder usando um dos seguintes métodos: accept(ClassNameMatcher classNameMatcher), accept(Pattern pattern) ou accept(String... patterns).

Correção

RCE

Code Injection

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-94CWE-502

Identificadores relacionados

BDU:2025-00105
CLEANSTART-2026-DD05788
CLEANSTART-2026-SQ91016
CLEANSTART-2026-VH41554
CLEANSTART-2026-WK99982
CVE-2024-52046
GHSA-76H9-2VWH-W278
OESA-2025-1044

Produtos afetados

Apache Mina
Debian