描述

在 2016 年，Spring AMQP 中添加了可反序列化类名的允许列表模式，允许用户锁定来自不受信任来源的消息中数据的反序列化；但是，默认情况下，如果未提供允许列表，则所有类都可以被反序列化。

具体来说，如果应用程序存在以下情况，则容易受到攻击

• 使用了 SimpleMessageConverter 或 SerializerMessageConverter
• 用户未配置允许列表模式
• 不受信任的消息发送者获得了向 RabbitMQ 代理写入消息以发送恶意内容的权限

受影响的 Spring 产品和版本

• Spring AMQP
  • 1.0.0 到 2.4.16
  • 3.0.0 到 3.0.9

缓解措施

• 不允许不受信任的来源访问 RabbitMQ 服务器
• 使用低于 2.4.17 版本的用户应升级到 2.4.17
• 使用 3.0.0 到 3.0.9 版本的用户应升级到 3.0.10

Spring Boot 依赖项管理将引入已更正的版本，从 Boot 版本 2.7.17、3.0.12、3.1.5 和 3.2.0 开始。

现在需要允许的类名模式。

但是，希望恢复到以前信任所有内容的行为的用户可以设置全局环境属性或系统属性；请参阅Java 反序列化文档部分

致谢

此漏洞由 L0ne1y 负责任地报告。