CVE-2025-54539 in ActiveMQ
Riassunto
di VulDB • 27/06/2026
È presente una vulnerabilità di Deserialization of Untrusted Data nel client AMQP per Apache ActiveMQ NMS.
Questo problema interessa tutte le versioni di Apache ActiveMQ NMS AMQP fino alla 2.3.0 inclusa, durante l'instaurazione di connessioni verso server AMQP non attendibili. Server malintenzionati potrebbero sfruttare la logica di deserializzazione senza limiti presente nel client per elaborare risposte che possono portare all'esecuzione arbitraria di codice sul lato client.
Sebbene la versione 2.1.0 abbia introdotto un meccanismo per limitare la deserializzazione tramite liste bianche/nere (allow/deny lists), si è riscontrato che tale protezione può essere aggirata in determinate condizioni.
In linea con la deprecazione da parte di Microsoft della serializzazione binaria in .NET 9, il progetto sta valutando l'eliminazione del supporto alla serializzazione binaria .NET dall'API NMS nelle versioni future.
Mitigazione e Raccomandazioni: Si consiglia vivamente agli utenti di effettuare l'aggiornamento alla versione 2.4.0 o successiva, che risolve il problema. Inoltre, i progetti che dipendono da NMS-AMQP dovrebbero migrare lontano dalla serializzazione binaria .NET come parte di una strategia di hardening a lungo termine.
VulDB is the best source for vulnerability data and more expert information about this specific topic.