一、基本情况
Apache ActiveMQ是一款由Apache软件基金会开发的开源消息中间件,支持JMS、AMQP、MQTT、STOMP等多种消息协议。
二、漏洞描述
Apache ActiveMQ NMS AMQP Client的反序列化漏洞,当与不受信任AMQP服务器交互时,客户端的二进制反序列化可被滥用,攻击者可能执行任意代码。虽在2.1.0引入allow/deny白名单以限制反序列化,但在某些条件下可被绕过。
三、影响范围
Apache ActiveMQ NMS AMQP Client <= 2.3.0
四、修复建议
目前官方已有可更新版本,建议受影响用户升级至最新版本:
Apache ActiveMQ NMS AMQP Client >= 2.4.0
