【漏洞通告】Apache MINA反序列化远程代码执行漏洞（CVE-2024-52046）

文章预览

一、漏洞 概述 漏洞名称  Apache MINA反序列化远程代码执行漏洞 CVE   ID CVE-2024-52046 漏洞类型 反序列化 发现时间 2024-12-25 漏洞评分 暂无 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Apache MINA（Multipurpose Infrastructure for Network Applications）是一个高性能的网络通信框架，旨在帮助开发人员快速构建和管理网络应用程序。 2024年12月25日，启明星辰集团VSRC监测到Apache MINA中存在一个反序列化远程代码执行漏洞（CVE-2024-52046）。 Apache MINA多个受影响版本中存在反序列化远程代码执行漏洞，由于Apache MINA 的 ObjectSerializationDecoder 组件使用了 Java 原生反序列化协议来处理传入的序列化数据，但缺乏必要的安全检查和防御机制，攻击者可通过向受影响的应用程序发送特制的恶意序列化数据，利用不安全的反序列化 ………………………………