В клиентской библиотеке Apache ActiveMQ для платформы .NET обнаружена критическая уязвимость, позволяющая злоумышленникам выполнять произвольный код на машинах пользователей. Проблема, получившая идентификатор CVE-2025-54539, затрагивает версии Apache ActiveMQ NMS AMQP Client до 2.3.0 включительно и связана с недостатками в процессе десериализации данных.
Детали уязвимости
Уязвимость проявляется в механизме обработки сериализованных объектов, когда клиентское приложение подключается к AMQP-серверу (Advanced Message Queuing Protocol - протокол обмена сообщениями). В случае подключения к контролируемому злоумышленником серверу последний может специально сформировать ответ, который приведет к выполнению произвольного кода на стороне клиента. Это создает условия для полного компрометирования системы, кража данных или развертывания дополнительного вредоносного программного обеспечения.
Проблема десериализации в NMS AMQP Client имеет давнюю историю. Начиная с версии 2.1.0, разработчики попытались ограничить риски, внедрив механизмы разрешающих и запрещающих списков для контроля типов объектов, подлежащих десериализации. Однако исследователи безопасности обнаружили методы обхода этих ограничений при определенных условиях, что сохранило уязвимость актуальной вплоть до версии 2.3.0.
Проект Apache оценивает серьезность данной уязвимости как "Важную", подчеркивая значительное потенциальное влияние на конфиденциальность, целостность и доступность систем. Особую озабоченность вызывает тот факт, что уязвимость может быть эксплуатациирована без аутентификации пользователя - достаточно лишь подключения к вредоносному серверу.
Для устранения уязвимости разработчикам и администраторам следует немедленно обновить Apache ActiveMQ NMS AMQP Client до версии 2.4.0, где проблема была исправлена. Обновление должно быть приоритетной задачей для всех организаций, использующих эту библиотеку в производственных средах.
Эксперты по безопасности также рекомендуют рассмотреть долгосрочные меры защиты, включающие переход от бинарной сериализации .NET к более безопасным框架ам сериализации, таким как JSON или Protocol Buffers. Это соответствует планам Microsoft по постепенному отказу от бинарной сериализации в будущих версиях .NET, начиная с .NET 9.
Помимо обновления программного обеспечения, специалистам рекомендуется пересмотреть конфигурации брокеров сообщений и убедиться, что клиенты подключаются только к доверенным AMQP-серверам. Дополнительную защиту могут обеспечить сетевые механизмы контроля, включая правила межсетевых экранов и VPN-туннели, ограничивающие доступ только к легитимным конечным точкам брокера.
Открытие уязвимости принадлежит исследовательской группе безопасности компании Endor Labs. Для получения дополнительной информации пользователи могут обратиться к официальному сайту Apache ActiveMQ или проверить запись CVE для CVE-2025-54539. Своевременное применение исправлений и реализация дополнительных мер защиты помогут организациям минимизировать риски, связанные с данной уязвимостью, и обеспечить безопасность своих систем обмена сообщениями.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-54539
- https://lists.apache.org/thread/9k684j07ljrshy3hxwhj5m0xjmkz1g2n
- https://seclists.org/oss-sec/2025/q4/47
