Apache alerta sobre vulnerabilidades críticas em MINA, HugeGraph e Traffic Control com risco de exploração

A Apache Software Foundation divulgou atualizações de segurança para corrigir três vulnerabilidades graves que afetam os produtos MINA, HugeGraph-Server e Traffic Control.

As falhas foram corrigidas em novas versões de software lançadas entre os dias 23 e 25 de dezembro. Contudo, o período de festas pode resultar em um ritmo mais lento de aplicação das atualizações, aumentando o risco de exploração.

Uma das vulnerabilidades, identificada como CVE-2024-52046, afeta as versões 2.0 até 2.0.26, 2.1 até 2.1.9 e 2.2 até 2.2.3 do MINA. Ela recebeu uma pontuação de gravidade crítica de 10/10 pela Apache Software Foundation.

O Apache MINA é um framework de aplicações de rede que oferece uma camada de abstração para o desenvolvimento de aplicativos de rede de alto desempenho e escaláveis.

O problema está relacionado ao componente ‘ObjectSerializationDecoder’, causado por uma desserialização insegura em Java, que pode levar à execução remota de código (RCE). A vulnerabilidade é explorável caso o método ‘IoBuffer#getObject()’ seja usado em combinação com determinadas classes.

A falha foi corrigida nas versões 2.0.27, 2.1.10 e 2.2.4, que introduziram padrões de segurança mais rígidos. Contudo, além de atualizar o software, os usuários devem configurar manualmente a rejeição de todas as classes, exceto as explicitamente permitidas, utilizando um dos três métodos recomendados.

Outra vulnerabilidade crítica, rastreada como CVE-2024-43441, afeta as versões 1.0 até 1.3 do Apache HugeGraph-Server. O problema está relacionado a uma falha de bypass de autenticação causada por uma validação inadequada da lógica de autenticação.

O Apache HugeGraph-Server é um servidor de banco de dados de grafos que permite o armazenamento eficiente, consulta e análise de dados baseados em grafos.

Essa falha foi resolvida na versão 1.5.0, que é a atualização recomendada para os usuários do HugeGraph-Server.

A terceira vulnerabilidade, identificada como CVE-2024-45387, recebeu uma pontuação de gravidade crítica de 9.9. Ela afeta as versões 8.0.0 e 8.0.1 do Traffic Ops e está relacionada a uma falha de injeção de SQL devido à sanitização insuficiente de entradas.

O Apache Traffic Control é uma ferramenta de gerenciamento e otimização de Redes de Distribuição de Conteúdo (CDN).

A vulnerabilidade permite a execução de comandos SQL arbitrários por meio de requisições PUT especialmente manipuladas. O problema foi corrigido na versão 8.0.2 do Traffic Control, lançada recentemente. A Apache esclareceu que versões anteriores a 8.0.0 não são impactadas.

Administradores de sistemas são fortemente recomendados a atualizar para as versões mais recentes o mais rápido possível, especialmente porque hackers tendem a atacar durante períodos do ano em que as empresas contam com menos funcionários disponíveis e os tempos de resposta são maiores.