12月25日Apache基金会发布Java网路应用程序框架Apache MINA更新2.2.4、2.1.10、2.0.27版，主要是为了修补远端程序码执行（RCE）漏洞CVE-2024-52046，这项漏洞影响2.0.0至2.2.3版，CVSS风险评分达到10分（满分10分），相当危险。

MINA（Multipurpose Infrastructure for Network Applications）是开源的网路应用程序框架，其特色是提供抽象事件导向异步API，而能够简化网路应用程序的TCP/IP、UDP/IP等网路传输。而这项漏洞出现在ObjectSerializationDecoder元件，此元件透过Java原生去序列化通讯协定处理输入的序列化资料，但缺乏必要的安全检查及防御机制而产生这项弱点。

若是攻击者想要利用这项漏洞，他们会透过发送特製的恶意序列化资料，透过反序列化处理程序触发漏洞，从而远端执行任意程序码。

附带一提的是，这项漏洞出现必须搭配特定条件，那就是採用MINA核心程序库的应用程序运作过程里，指定类别与实体新增过程里受到特定的方法IoBuffer#getObject()呼叫，其MINA核心程序就会受到影响。

关于漏洞的善后，Apache基金会特别提及，IT人员光是部署更新无法完全缓解漏洞，还要明确地在ObjectSerializationDecoder允许特定类别的解码器，并提及有3种方法可用。