公告编号:CVE-2023-34050作者:admin发布日期:2023/10/20
2023年10月20日,易安联应急响应中心检测到 Spring官方披露 CVE-2023-34050 Spring AMQP反序列化漏洞漏洞。
漏洞描述
由于 SimpleMessageConverter 或 SerializerMessageConverter 默认未配置白名单,导致可以反序列化任意类。新版本中在未配置白名单的情况下则不允许反序列化任意类。
漏洞细节:公开
漏洞POC:暂无
漏洞EXP:暂无
在野利用:存在
漏洞评级
Spring AMQP反序列化漏洞 CVE-2023-34050 高危
安全建议
1、不允许不受信任的源访问RabbitMQ服务器
2、版本低于2.4.17的用户应升级到2.4.17
3、使用3.0.0至3.0.9版本的用户应升级至3.0.10
参考链接
https://spring.io/security/cve-2023-34050
我们会关注后续进展,请随时关注官方公告。如有任何问题,可随时发送邮件至enlink@enlink.cn
易安联应急响应中心
2023.10.20
