描述

2016 年，Spring AMQP 添加了可反序列化类名的允许列表模式，允许用户锁定来自不受信任来源的消息中数据的反序列化；但是，默认情况下，如果没有提供允许列表，则可以反序列化所有类。

具体来说，如果应用程序满足以下条件，则存在漏洞：

• 使用了 SimpleMessageConverter 或 SerializerMessageConverter
• 用户未配置允许列表模式
• 不受信任的消息发起者获得向 RabbitMQ 代理写入消息以发送恶意内容的权限

受影响的 Spring 产品和版本

• Spring AMQP
  • 1.0.0 至 2.4.16
  • 3.0.0 至 3.0.9

缓解措施

• 不允许不受信任的来源访问 RabbitMQ 服务器
• 使用低于 2.4.17 版本的用户应升级到 2.4.17
• 使用 3.0.0 到 3.0.9 版本的用户应升级到 3.0.10

Spring Boot 依赖管理将引入已更正的版本，从 Boot 版本 2.7.17、3.0.12、3.1.5 和 3.2.0 开始。

现在需要允许的类名模式。

但是，希望恢复到信任所有内容的先前行为的用户，可以设置全局环境变量或系统属性；请参阅 Java 反序列化文档部分

致谢

此漏洞由 L0ne1y 负责任地报告。