Apache ActiveMQ, Apache ActiveMQ Legacy OpenWire Module: Unbounded deserialization causes ActiveMQ to be vulnerable to a remote code execution (RCE) attack

Apache ActiveMQ contiene una falla crítica en el protocolo OpenWire que permite a atacantes remotos ejecutar comandos arbitrarios en servidores o clientes. Cualquier persona con acceso a la red puede explotarla.

La deserialización sin límites en el marshaller del protocolo OpenWire (CWE-502) permite ejecución remota de código cuando un atacante manipula tipos de clase serializados para instanciar clases arbitrarias del classpath en el broker o cliente. No se requiere autenticación; el impacto incluye compromiso total del sistema.