Se ha identificado una vulnerabilidad crítica en Apache ActiveMQ NMS OpenWire Client, un componente de mensajería basado en .NET que permite la comunicación con brokers ActiveMQ mediante el protocolo OpenWire. Esta falla, catalogada como CVE-2025-29953, podría permitir a atacantes remotos ejecutar código arbitrario en sistemas afectados al deserializar datos no confiables enviados desde servidores maliciosos
- CVE-2025-29953 (CVSS 8.1): La vulnerabilidad reside en la deserialización de datos no confiables en Apache ActiveMQ NMS OpenWire Client. Cuando el cliente se conecta a servidores no confiables, estos pueden enviar respuestas maliciosas que explotan la deserialización sin restricciones, lo que puede conducir a la ejecución de código arbitrario en el cliente. Aunque la versión 2.1.0 introdujo una función de lista de permitidos/prohibidos para restringir la deserialización, esta característica podría ser eludida.
Productos y versiones afectadas:
- Apache ActiveMQ NMS OpenWire Client menores a 2.1.1.
Solución
- Actualizar a la versión 2.1.1 o superior.
Recomendaciones:
- Actualizar Apache ActiveMQ NMS OpenWire Client a la versión 2.1.1 o superior para corregir la vulnerabilidad.
- Evitar conexiones a servidores no confiables hasta que se haya aplicado la actualización.
- Implementar medidas de seguridad a nivel de red, como firewalls y sistemas de detección de intrusiones, para restringir el acceso a servidores confiables.
- Revisar y reforzar las políticas de deserialización en las aplicaciones para evitar la ejecución de código no autorizado.
Referencias: