一、 漏洞 CVE-2025-27533 基础信息
漏洞信息
# Apache ActiveMQ:未检查的缓冲区长度可能导致过度的内存分配
## 漏洞概述
Apache ActiveMQ 在反序列化 OpenWire 命令时,未对缓冲区的大小值进行适当验证,导致了内存分配过大,可能被利用造成拒绝服务(DoS)攻击,通过耗尽进程内存,影响依赖 ActiveMQ 消息中间件的应用和服务(不使用双向 TLS 连接时)。
## 影响版本
- 6.0.0 到 6.1.6 之前的版本
- 5.18.0 到 5.18.7 之前的版本
- 5.17.0 到 5.17.7 之前的版本
- 5.16.0 到 5.16.8 之前的版本
## 细节
在处理 OpenWire 命令时,由于未对缓冲区的大小值进行适当的验证,可能导致内存分配过大,从而引发 DoS 攻击。具体来说,攻击者可以利用这一漏洞耗尽应用进程的内存资源,导致系统无法正常运行。
## 影响
此漏洞主要影响不使用双向 TLS 连接时依赖于 ActiveMQ 服务的应用和服务。强烈建议用户升级到以下版本之一:
- 6.1.6 或更高版本
- 5.19.0 或更高版本
- 5.18.7 或更高版本
- 5.17.7 或更高版本
- 5.16.8 或更高版本
用户也可以通过实施双向 TLS 来减轻受影响的中间件的风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache ActiveMQ: Unchecked buffer length can cause excessive memory allocation
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Memory Allocation with Excessive Size Value vulnerability in Apache ActiveMQ.
During unmarshalling of OpenWire commands the size value of buffers was not properly validated which could lead to excessive memory allocation and be exploited to cause a denial of service (DoS) by depleting process memory, thereby affecting applications and services that rely on the availability of the ActiveMQ broker when not using mutual TLS connections.
This issue affects Apache ActiveMQ: from 6.0.0 before 6.1.6, from 5.18.0 before 5.18.7, from 5.17.0 before 5.17.7, before 5.16.8. ActiveMQ 5.19.0 is not affected.
Users are recommended to upgrade to version 6.1.6+, 5.19.0+, 5.18.7+, 5.17.7, or 5.16.8 or which fixes the issue.
Existing users may implement mutual TLS to mitigate the risk on affected brokers.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
未经控制的内存分配
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache ActiveMQ 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache ActiveMQ是美国阿帕奇(Apache)基金会的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。 Apache ActiveMQ 6.1.6之前版本、5.18.7之前版本、5.17.7之前版本和5.16.8之前版本存在安全漏洞,该漏洞源于缓冲区大小验证不足,可能导致拒绝服务。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-27533 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | exploit for CVE-2025-27533, a Denial of Service (DoS) vulnerability in Apache ActiveMQ | https://github.com/absholi7ly/CVE-2025-27533-Exploit-for-Apache-ActiveMQ | POC详情 |
三、漏洞 CVE-2025-27533 的情报信息
-
标题: CVE-2025-27533: Apache ActiveMQ: Unchecked buffer length can cause excessive memory allocation-Apache Mail Archives -- 🔗来源链接
标签: vendor-advisory
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-27533
四、漏洞 CVE-2025-27533 的评论
暂无评论