描述

在 2016 年，將可反序列化類別名稱的允許清單模式新增至 Spring AMQP，允許使用者鎖定來自不受信任來源的訊息中資料的反序列化；然而，預設情況下，如果未提供允許清單，則所有類別都可以反序列化。

具體來說，如果以下情況，應用程式容易受到攻擊：

• 使用了 SimpleMessageConverter 或 SerializerMessageConverter
• 使用者未配置允許清單模式
• 不受信任的訊息發起者獲得了將訊息寫入 RabbitMQ Broker 以傳送惡意內容的權限

受影響的 Spring 產品和版本

• Spring AMQP
  • 1.0.0 到 2.4.16
  • 3.0.0 到 3.0.9

緩解措施

• 不允許不受信任的來源存取 RabbitMQ 伺服器
• 使用版本低於 2.4.17 的使用者應升級至 2.4.17
• 使用 3.0.0 到 3.0.9 版本的使用者應升級至 3.0.10

Spring Boot 依賴管理將引入更正的版本，從 Boot 版本 2.7.17、3.0.12、3.1.5 和 3.2.0 開始。

現在需要允許的類別名稱模式。

然而，希望恢復到先前信任所有內容行為的使用者，可以設定全域環境屬性或系統屬性；請參閱Java 反序列化文件章節

鳴謝

此漏洞由 L0ne1y 負責地回報。