【漏洞通告】Apache ActiveMQ NMS AMQP 反序列化漏洞(CVE-2025-54539)
发布时间 2025-10-17一、漏洞概述
漏洞名称 | Apache ActiveMQ NMS AMQP 反序列化漏洞 | ||
CVE ID | CVE-2025-54539 | ||
漏洞类型 | 反序列化漏洞 | 发现时间 | 2025-10-17 |
漏洞评分 | 9.8 | 漏洞等级 | 严重 |
攻击向量 | 网络 | 所需权限 | 无 |
利用难度 | 低 | 用户交互 | 需要 |
PoC/EXP | 未公开 | 在野利用 | 未发现 |
Apache ActiveMQ是一款由Apache软件基金会开发的开源消息中间件,支持JMS、AMQP、MQTT、STOMP等多种消息协议。它用于构建高可靠的异步消息传递系统,实现应用间的解耦与异步通信,广泛应用于企业级消息队列、分布式系统与微服务架构中。
2025年10月17日,启明星辰集团VSRC监测到Apache ActiveMQ NMS AMQP Client的反序列化漏洞,当与不受信任AMQP服务器交互时,客户端的二进制反序列化可被滥用,攻击者可能执行任意代码。虽在2.1.0引入allow/deny白名单以限制反序列化,但在某些条件下可被绕过。漏洞评分9.8分,漏洞级别严重。
二、影响范围
三、安全措施
3.1 升级版本
下载链接:https://activemq.apache.org/
京公网安备11010802024551号