E安全音讯，网络运用结构Apache MINA发现一个严峻缝隙。缝隙被追寻为CVE-2024-52046，CVSS得分10，或许答应攻击者在体系上履行恣意代码。

  Apache MINA结构用于构建高性能和可扩展的网络运用，以其事情驱动异步API而出名。该API简化了TCP/IP和UDP/IP等传输上的网络编程，被大范围的运用于各种运用。

  但是，其ObjectSerializationDecoder组件的一个缺点为歹意行为者打开了大门。这个解码器运用Java的本地反序列化来处理序列化数据，被发现缺少要害的安全查看。

  问题的本源在于易受攻击版别的MINA处理目标反序列化的办法。没有恰当的保护措施，攻击者能够发送特别制造的歹意序列化数据，当ObjectSerializationDecoder处理这一些数据时，有几率会使长途代码履行（RCE）。这在某种程度上预示着攻击者或许彻底操控受影响的体系。

  当运用程序运用IoBuffer#getObject()办法时，危险就会呈现，这或许在ProtocolCodecFilter实例运用ObjectSerializationCodecFactory类被添加到过滤器链时被调用。假如你的运用程序依靠这些特定类和办法，你或许已暴露了危险，有必要当即采纳举动。

  只是晋级是不行的。更新的版别引入了一个重要的安全增强功用：研制人员有必要清晰界说ObjectSerializationDecoder被答应反序列化的类。

  默许情况下，解码器现在将回绝一切类，遵从“回绝一切”的准则，除非清晰答应。这增加了一个重要的操控层，避免了不受信赖和潜在歹意目标的反序列化。