概要
Apache MINA において、以前報告されたデシリアライゼーション脆弱性 CVE-2024-52046 の修正が不完全であることが判明しました。この不完全な修正により、攻撃者は依然として悪意のあるシリアライズされたオブジェクトを送信し、リモートコード実行 (RCE) を達成できる状態にあります。
CVE-2024-52046 は CVSS 10.0 と評価された極めて深刻な脆弱性であり、Apache MINA の ObjectSerializationCodec における信頼できないデータのデシリアライゼーションが原因でした。当初の修正パッチでは問題が完全に解決されておらず、攻撃者が修正をバイパスしてデシリアライゼーション攻撃を継続できることが確認されました。
本脆弱性は CWE-502(信頼できないデータのデシリアライゼーション)に分類されます。Apache MINA はネットワークアプリケーションフレームワークとして広く利用されており、影響を受けるバージョンを使用している場合は速やかに修正バージョンへのアップデートが必要です。デシリアライゼーション RCE は認証なしでリモートから悪用可能であり、極めて高いリスクを持ちます。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 9.8 |
| 深刻度 | Critical |
| CWE | CWE-502 (信頼できないデータのデシリアライゼーション) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| mina-core | Apache Software Foundation | < 2.0.28 |
| mina-core | Apache Software Foundation | < 2.1.11 |
| mina-core | Apache Software Foundation | < 2.2.6 |
修正バージョンと回避策
- 修正バージョン: Apache MINA 2.0.28、2.1.11、または 2.2.6 にアップデートしてください
- 回避策: ObjectSerializationCodec を使用している場合は、信頼できないネットワークからのアクセスを制限してください
- 確認事項: CVE-2024-52046 の修正として以前のバージョンに更新済みの場合でも、本脆弱性の修正バージョンへの再アップデートが必要です
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。