CVE-2025-54539 in ActiveMQinformação

Sumário

de VulDB • 26/05/2026

Uma vulnerabilidade de Deserialização de Dados Não Confiáveis existe no Apache ActiveMQ NMS AMQP Client.

Este problema afeta todas as versões do Apache ActiveMQ NMS AMQP até a 2.3.0, inclusive, ao estabelecer conexões com servidores AMQP não confiáveis. Servidores maliciosos poderiam explorar a lógica de desserialização sem limites presente no cliente para criar respostas que podem levar à execução de código arbitrário no lado do cliente.

Embora a versão 2.1.0 tenha introduzido um mecanismo para restringir a desserialização por meio de listas de permissão e negação, a proteção foi considerada contornável sob certas condições.

Em conformidade com a descontinuação pela Microsoft da serialização binária no .NET 9, o projeto está avaliando a remoção do suporte à serialização binária do .NET da API NMS em versões futuras.

Mitigação e Recomendações: Os usuários são fortemente encorajados a atualizar para a versão 2.4.0 ou posterior, que resolve o problema. Além disso, os projetos que dependem do NMS-AMQP devem migrar para fora da serialização binária do .NET como parte de uma estratégia de endurecimento de longo prazo.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!