Apache Software Foundation выявила и устранила три критические уязвимости в своих ключевых продуктах, которые могли предоставить злоумышленникам возможности для удаленного выполнения кода и несанкционированного доступа к системам. Специалисты по кибербезопасности оценивают серьезность обнаруженных проблем на уровне 9,9-10 баллов по шкале CVSS.
Критическая уязвимость в Apache MINA
Наиболее серьезная уязвимость (CVE-2024-52046) обнаружена в сетевом фреймворке Apache MINA, получившая максимальную оценку 10 баллов. Проблема затрагивает версии 2.0-2.0.26, 2.1-2.1.9 и 2.2-2.2.3. Уязвимость связана с небезопасной десериализацией Java в компоненте ObjectSerializationDecoder, что потенциально позволяет злоумышленникам выполнять произвольный код на целевых системах.
Проблемы безопасности в HugeGraph-Server
Вторая критическая уязвимость (CVE-2024-43441) затрагивает систему управления графовыми базами данных Apache HugeGraph-Server версий 1.0-1.3. Обнаруженный недостаток позволяет обойти механизмы аутентификации из-за ошибок в логике валидации. Разработчики выпустили исправление в версии 1.5.0, настоятельно рекомендуя всем пользователям произвести обновление.
SQL-инъекции в Apache Traffic Control
Третья уязвимость (CVE-2024-45387) обнаружена в системе управления CDN Apache Traffic Control. С оценкой 9,9 баллов по CVSS, она позволяет проводить SQL-инъекции в версиях Traffic Ops 8.0.0-8.0.1. Недостаточная фильтрация входных данных в SQL-запросах открывает возможность для выполнения произвольных команд через специально сформированные PUT-запросы.
В связи с повышенной активностью киберпреступников в праздничные периоды, когда время реагирования на инциденты увеличивается, специалисты по информационной безопасности настоятельно рекомендуют администраторам систем незамедлительно установить последние обновления: MINA 2.0.27/2.1.10/2.2.4, HugeGraph-Server 1.5.0 и Traffic Control 8.0.2. Важно отметить, что для полной защиты MINA требуется дополнительная ручная настройка ограничений на использование определенных классов после обновления.
