CVE-2025-54539 in ActiveMQ
Résumé
par VulDB • 26/05/2026
Une vulnérabilité de désérialisation de données non fiables existe dans le client AMQP NMS d'Apache ActiveMQ.
Ce problème affecte toutes les versions d'Apache ActiveMQ NMS AMQP jusqu'à la version 2.3.0 incluse, lors de l'établissement de connexions vers des serveurs AMQP non fiables. Des serveurs malveillants pourraient exploiter la logique de désérialisation non bornée présente dans le client pour fabriquer des réponses susceptibles de conduire à l'exécution de code arbitraire côté client.
Bien que la version 2.1.0 ait introduit un mécanisme pour restreindre la désérialisation via des listes d'autorisation et d'interdiction, il a été constaté que cette protection pouvait être contournée dans certaines conditions.
Conformément à la dépréciation par Microsoft de la sérialisation binaire dans .NET 9, le projet évalue la suppression totale du support de la sérialisation binaire .NET de l'API NMS dans les versions futures.
Atténuation et recommandations : Il est fortement recommandé aux utilisateurs de passer à la version 2.4.0 ou ultérieure, qui corrige le problème. De plus, les projets dépendant de NMS-AMQP devraient migrer vers d'autres formats de sérialisation, en abandonnant la sérialisation binaire .NET, dans le cadre d'une stratégie de durcissement à long terme.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.