Se han identificado vulnerabilidades críticas en Apache HugeGraph-Server (CVE-2024-43441) y Apache MINA (CVE-2024-52046) que permiten a atacantes eludir autenticaciones y ejecutar código remotamente. Se recomienda actualizar a las versiones más recientes para mitigar estos riesgos.
CVE-2024-43441: Vulnerabilidad de Omisión de Autenticación en Apache HugeGraph-Server
Apache HugeGraph-Server, un sistema de base de datos de grafos de código abierto, presenta una vulnerabilidad crítica identificada como CVE-2024-43441. Esta falla permite a atacantes eludir los mecanismos de autenticación mediante la manipulación de tokens JWT (JSON Web Tokens), debido a que el servidor asume incorrectamente que ciertos datos en los JWT son inmutables [2] [3]. Esta omisión de autenticación puede conducir a accesos no autorizados a datos sensibles y operaciones dentro del sistema.
CVE-2024-52046: Vulnerabilidad Crítica de Ejecución Remota de Código en Apache MINA
Apache MINA, un marco de aplicaciones de red utilizado para construir aplicaciones de red escalables y de alto rendimiento, contiene una vulnerabilidad crítica designada como CVE-2024-52046, con una puntuación CVSS de 10. La falla reside en el componente ObjectSerializationDecoder, que carece de verificaciones de seguridad adecuadas durante la deserialización de objetos. Esto permite a atacantes enviar datos serializados maliciosos que, al ser procesados, pueden resultar en la ejecución remota de código, otorgando control total sobre el sistema afectado [4] [5].
Productos y versiones afectadas
Tabla 1. Productos y versiones afectadas
| Productos Afectados | Versiones Afectadas | Solución |
| Apache MINA | Desde 2.0.0 hasta 2.0.26 | Actualizar a la versión 2.0.27 |
| Desde 2.1.0 hasta 2.1.9 | Actualizar a la versión 2.1.10 | |
| Desde 2.2.0 hasta 2.2.3 | Actualizar a la versión 2.2.4 | |
| Apache HugeGraph-Server | Desde 1.0.0 antes de 1.5.0 | Actualizar a la versión 1.5.0 |
Recomendaciones
- Actualizar inmediatamente a las versiones parcheadas de Apache MINA y Apache HugeGraph-Server.
- Asegurar de que los datos en los tokens JWT se validen correctamente y no se consideren inmutables, para evitar la omisión de autenticación.
- Adoptar medidas de seguridad en la deserialización de objetos para impedir la ejecución de datos no confiables.
Referencia:
[1] B. Toulas, «Apache warns of critical flaws in MINA, HugeGraph, Traffic Control,» Bleeping Computer, 26 Diciembre 2024. [En línea]. Available: https://www.bleepingcomputer.com/news/security/apache-warns-of-critical-flaws-in-mina-hugegraph-traffic-control/?utm_source=chatgpt.com.
[2] D. Son, «CVE-2024-43441: Authentication Bypass Vulnerability Found in Apache HugeGraph-Server,» Cybersecurity News, 25 Diciembre 2024. [En línea]. Available: https://securityonline.info/cve-2024-43441-authentication-bypass-vulnerability-found-in-apache-hugegraph-server/.
[3] «CVE-2024-43441,» CVE, 24 Diciembre 2024. [En línea]. Available: https://www.cve.org/CVERecord?id=CVE-2024-43441.
[4] «CVE-2024-52046,» CVE, 28 Diciembre 2024. [En línea]. Available: https://www.cve.org/CVERecord?id=CVE-2024-52046.
[5] D. Son, «CVE-2024-52046 (CVSS 10): Critical Apache MINA Flaw Could Allow Remote Code Execution,» Cybersecurity News, 25 Diciembre 2024. [En línea]. Available: https://securityonline.info/cve-2024-52046-cvss-10-critical-apache-mina-flaw-could-allow-remote-code-execution/.
