A Apache Software Foundation (ASF) anunciou a disponibilização de patches para corrigir uma vulnerabilidade crítica no framework de aplicações de rede Apache MINA, que pode resultar em execução remota de código (RCE) em condições específicas.

O problema está relacionado ao uso do protocolo de desserialização nativo do Java pelo componente ObjectSerializationDecoder. Esse componente processa dados serializados recebidos sem aplicar verificações de segurança adequadas, permitindo que atacantes enviem dados maliciosos especialmente criados para explorar o processo de desserialização, levando à execução de código remoto em sistemas vulneráveis.

Para mitigar o risco, apenas atualizar para uma versão corrigida do Apache MINA não é suficiente. Os desenvolvedores precisam configurar explicitamente as classes que o ObjectSerializationDecoder aceitará, utilizando uma das três novas opções fornecidas pelos patches. Usuários e administradores do Apache MINA e de outros produtos impactados são fortemente recomendados a aplicar as atualizações imediatamente e seguir as instruções de configuração fornecidas para minimizar os riscos de exploração.