Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-05147

Опубликовано: 18 апр. 2025
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость библиотеки Apache ActiveMQ NMS OpenWire Client программной платформы Apache ActiveMQ связана с восстановлением в памяти недостоверных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

Apache Software Foundation

Наименование ПО

ActiveMQ NMS OpenWire Client

Версия ПО

до 2.1.1 (ActiveMQ NMS OpenWire Client)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://lists.apache.org/thread/vc1sj9y3056d3kkhcvrs9fyw5w8kpmlx

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 47%
0.0024
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-29953

CVSS3: 9.8
nvd
10 месяцев назад

Deserialization of Untrusted Data vulnerability in Apache ActiveMQ NMS OpenWire Client. This issue affects Apache ActiveMQ NMS OpenWire Client before 2.1.1 when performing connections to untrusted servers. Such servers could abuse the unbounded deserialization in the client to provide malicious responses that may eventually cause arbitrary code execution on the client. Version 2.1.0 introduced a allow/denylist feature to restrict deserialization, but this feature could be bypassed. The .NET team has deprecated the built-in .NET binary serialization feature starting with .NET 9 and suggests migrating away from binary serialization. The project is considering to follow suit and drop this part of the NMS API altogether. Users are recommended to upgrade to version 2.1.1, which fixes the issue. We also recommend to migrate away from relying on .NET binary serialization as a hardening method for the future.

github логотип

GHSA-9g64-r942-fvmp

CVSS3: 9.8
github
10 месяцев назад

Apache ActiveMQ NMS OpenWire Client Deserialization of Untrusted Data vulnerability

EPSS

Процентиль: 47%
0.0024
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2