Se han identificado vulnerabilidades críticas que afectan a dos componentes clave en sistemas basados en Apache: Apache MINA y Apache HugeGraph-Server. Estas fallas representan riesgos importantes, incluyendo la ejecución remota de código (RCE) y el bypass de autenticación, lo que podría comprometer la seguridad y disponibilidad de los sistemas afectados.
- CVE-2024-52046 (CVSS 10): Esta vulnerabilidad afecta al componente ObjectSerializationDecoder de Apache MINA, lo que permite la ejecución remota de código. Los atacantes pueden enviar datos maliciosos serializados que, al ser procesados, otorgan control total sobre el sistema afectado.
- CVE-2024-43441- (CVSS: N/A): La vulnerabilidad permite a atacantes eludir los mecanismos de autenticación explotando fallas en la gestión de tokens JWT (JSON Web Tokens). Esto podría dar acceso no autorizado a datos sensibles y operaciones críticas de «graph».
Productos y Versiones Afectadas
| Productos Afectados | Versiones Afectadas | Solución |
| Apache MINA | 2.0.0-2.0.26 2.1.0-2.1.9 2.2.0-2.2.3 | Actualizar a 2.0.27, 2.1.10 o 2.2.4 |
| Apache HugeGraph-Server | 1.0.0 a versiones previas a 1.5.0 | Actualizar a la versión 1.5.0 |
Recomendaciones:
- Actualizar a las versiones parcheadas de Apache MINA y Apache HugeGraph-Server lo antes posible.
- Garantizar que los datos de JWT se validen correctamente y no se consideren como inalterables.
- Implementar prácticas seguras en la deserialización de objetos para evitar la ejecución de datos no confiables.
Referencias: