Redazione RHC : 17 octubre 2025 16:05
Se ha identificado una vulnerabilidad de deserialización de datos no confiable en el cliente AMQP Apache ActiveMQ NMS , que expone los sistemas a posibles ataques de servidores maliciosos.
La falla, identificada como CVE-2025-54539, tiene una puntuación de 9,8 sobre 10 y afecta a todas las versiones hasta la 2.3.0 inclusive, cuando se establecen conexiones a servidores AMQP no confiables.
Según los expertos en seguridad de Endor Labs , quienes informaron la falla, un servidor remoto modificado adecuadamente puede explotar la lógica de deserialización sin restricciones del cliente para enviar respuestas manipuladas, lo que potencialmente permite la ejecución de código arbitrario en el sistema de la víctima.
En la versión 2.1.0 ya se había introducido un mecanismo de seguridad basado en listas de permisos/denegaciones para limitar la deserialización. Sin embargo, análisis posteriores demostraron que esta protección podía eludirse en determinadas circunstancias , lo que mantenía el riesgo de vulneración.
Paralelamente a la vulnerabilidad, el equipo de desarrollo de Apache ActiveMQ anunció que, en línea con la decisión de Microsoft de descontinuar la serialización binaria en .NET 9 , están evaluando si eliminar por completo el soporte para la serialización binaria de .NET en futuras versiones de la API NMS.
Se recomienda encarecidamente a los usuarios que actualicen el cliente a la versión 2.4.0 o posterior , lo que resuelve el problema.
Además, todos los proyectos que dependen de NMS-AMQP deberían planificar una migración de la serialización binaria .NET como parte de una estrategia más amplia de fortalecimiento de la seguridad a largo plazo.
RedazioneEl 20 de septiembre, informamos sobre un ciberataque que paralizó varios aeropuertos europeos, incluidos los de Bruselas, Berlín y Londres-Heathrow. Se trató de un ataque a la cadena de suministro ...
El sistema penitenciario rumano se ha visto envuelto en un grave escándalo digital: reclusos de Târgu Jiu piratearon la plataforma interna de la ANP y, durante varios meses, gestionaron sin ser dete...
Hoy en día, vivimos en un mundo donde el wifi es una necesidad fundamental, pero ¿cómo surgió esta tecnología, que ahora damos por sentada? ¿Cómo se convirtió en la red que usamos a diario? En...
El 10 de octubre de 2025, las autoridades letonas llevaron a cabo una jornada de acción que resultó en la detención de cinco ciudadanos letones sospechosos de dirigir una red de ciberfraude a gran ...
Jen-Hsun Huang, fundador y CEO de Nvidia, reveló que las recientes restricciones a las exportaciones han reducido drásticamente la presencia de los chips de inteligencia artificial de la compañía ...
