描述

2016年，Spring AMQP 添加了可反序列化类名的允许列表模式，允许用户锁定来自不受信任源的消息中的数据反序列化；但是，在默认情况下，当未提供允许列表时，所有类都可以被反序列化。

具体而言，在以下情况下应用程序易受攻击：

• 使用了 SimpleMessageConverter 或 SerializerMessageConverter
• 用户未配置允许列表模式
• 不受信任的消息发起者获得写入 RabbitMQ 代理以发送恶意内容的权限

受影响的 Spring 产品和版本

• Spring AMQP
  • 1.0.0 到 2.4.16
  • 3.0.0 到 3.0.9

缓解措施

• 不允许不受信任的来源访问 RabbitMQ 服务器
• 版本低于 2.4.17 的用户应升级到 2.4.17
• 使用 3.0.0 到 3.0.9 版本的用户应升级到 3.0.10

Spring Boot 依赖管理将引入已更正的版本，从 Boot 2.7.17、3.0.12、3.1.5 和 3.2.0 版本开始。

现在需要允许的类名模式。

但是，希望恢复到之前信任所有内容的旧行为的用户可以设置全局环境变量或系统属性；请参阅Java 反序列化文档部分

致谢

此漏洞由 L0ne1y 负责任地报告。