Apache ActiveMQ NMS AMQP漏洞CVE-2025-54539

Apache ActiveMQ 开源消息中间件基于 Java 语言开发，遵循 JMS（Java Message Service）规范，同时支持多种消息协议和跨语言通信。

一、基本情况

Apache ActiveMQ是Apache软件基金会开发的开源消息中间件，支持JMS、AMQP、MQTT、STOMP等消息协议，支持多种持久化方案。

Apache ActiveMQ用于构建高可靠异步消息传递系统，实现应用间解耦与异步通信，应用于企业级消息队列、分布式系统与微服务架构中。

Apache ActiveMQ是中小型分布式系统中消息中间件的常用选择，广泛应用于分布式系统中实现异步通信、解耦服务、流量削峰等等场景。

栋科技漏洞库关注到Apache ActiveMQ NMS AMQP Client的反序列化漏洞，漏洞被追踪为CVE-2025-54539，漏洞的CVSS 3.X评分为9.8。

二、漏洞分析

CVE-2025-54539漏洞是存在于Apache ActiveMQ NMS AMQP 反序列化漏洞，该漏洞的评分达到了9.8分，因此而言，该漏洞的级别严重。

Apache ActiveMQ NMS AMQP Client的反序列化漏洞与不受信任AMQP服务器交互时，客户端二进制反序列化被滥用，导致任意代码执行。

尽管官方已在2.1.0引入allow/deny白名单以限制反序列化，但在某些条件下可被绕过。

三、影响范围

Apache ActiveMQ NMS AMQP Client <= 2.3.0

四、修复建议

Apache ActiveMQ NMS AMQP Client >= 2.4.0

五、参考链接

管理员已设置登录后刷新可查看