Фахівці з кібербезпеки Apache Software Foundation виявили три критичні вразливості у популярних програмних продуктах, що становлять серйозну загрозу для корпоративних систем. Уразливості отримали максимальні оцінки за шкалою CVSS (9,9-10 балів) та потребують негайного реагування з боку системних адміністраторів.
Критична вразливість у Apache MINA: максимальний рівень загрози
Найсерйозніша вразливість CVE-2024-52046 виявлена у мережевому фреймворку Apache MINA, що широко використовується для розробки високопродуктивних мережевих додатків. Проблема пов’язана з небезпечною десеріалізацією Java-об’єктів у компоненті ObjectSerializationDecoder, що дозволяє зловмисникам виконувати довільний код на цільових системах. Вразливість зачіпає всі версії MINA від 2.0 до 2.2.3.
Вразливість автентифікації в Apache HugeGraph-Server
Друга критична вразливість CVE-2024-43441 присутня в системі управління графовими базами даних HugeGraph-Server версій 1.0-1.3. Недолік у механізмі валідації дозволяє зловмисникам обходити систему автентифікації, що створює ризик несанкціонованого доступу до конфіденційних даних. Розробники випустили оновлення безпеки у версії 1.5.0.
SQL-ін’єкції в Apache Traffic Control: ризик компрометації даних
Третя вразливість CVE-2024-45387 знайдена в системі управління CDN Apache Traffic Control. Недостатня фільтрація вхідних даних в SQL-запитах версій 8.0.0-8.0.1 дозволяє проводити атаки типу SQL-ін’єкції через спеціально сформовані PUT-запити. Це може призвести до несанкціонованого доступу до баз даних та виконання шкідливих команд.
Зважаючи на підвищену активність кіберзлочинців у святкові періоди та критичність виявлених вразливостей, фахівці з інформаційної безпеки наполегливо рекомендують терміново встановити останні версії програмного забезпечення: MINA 2.0.27/2.1.10/2.2.4, HugeGraph-Server 1.5.0 та Traffic Control 8.0.2. Особливу увагу слід приділити налаштуванню додаткових обмежень безпеки для Apache MINA після оновлення, включаючи конфігурацію білого списку дозволених класів для десеріалізації.
