描述

2016 年，Spring AMQP 添加了可反序列化類名的允許列表模式，允許使用者鎖定來自不受信任來源的訊息中資料的反序列化；但是，預設情況下，如果沒有提供允許列表，則可以反序列化所有類。

具體來說，如果應用程式滿足以下條件，則存在漏洞：

• 使用了 SimpleMessageConverter 或 SerializerMessageConverter
• 使用者未配置允許列表模式
• 不受信任的訊息發起者獲得向 RabbitMQ 代理寫入訊息以傳送惡意內容的許可權

受影響的 Spring 產品和版本

• Spring AMQP
  • 1.0.0 至 2.4.16
  • 3.0.0 至 3.0.9

緩解措施

• 不允許不受信任的來源訪問 RabbitMQ 伺服器
• 使用低於 2.4.17 版本的使用者應升級到 2.4.17
• 使用 3.0.0 到 3.0.9 版本的使用者應升級到 3.0.10

Spring Boot 依賴管理將引入已更正的版本，從 Boot 版本 2.7.17、3.0.12、3.1.5 和 3.2.0 開始。

現在需要允許的類名模式。

但是，希望恢復到信任所有內容的先前行為的使用者，可以設定全域性環境變數或系統屬性；請參閱 Java 反序列化文件部分

致謝

此漏洞由 L0ne1y 負責任地報告。