严重 Apache RocketMQ 远程代码执行漏洞(CVE-2023-33246)

CVE编号

CVE-2023-33246

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2023-05-23
漏洞描述
RocketMQ 5.1.0及以下版本,在一定条件下,存在远程命令执行风险。RocketMQ的NameServer、Broker、Controller等多个组件外网泄露,缺乏权限验证,攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。 此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。

影响版本
5.0.0 <= Apache RocketMQ < 5.1.1
4.0.0 <= Apache RocketMQ < 4.9.6

解决建议
安全的版本:

Apache RocketMQ 5.1.1
Apache RocketMQ 4.9.6

为了缓解这一风险,建议用户升级到上述的安全版本。如果无法立即升级,应实施网络层面的限制措施,例如配置防火墙规则,以限制对 RocketMQ 组件的访问,防止未经授权的访问。同时建议监控任何异常活动,并遵循最佳实践来保护部署环境,包括定期更新和应用安全补丁。用户应关注官方 Apache RocketMQ 渠道,以获取有关此漏洞的进一步通告和更新。
参考链接
http://packetstormsecurity.com/files/173339/Apache-RocketMQ-5.1.0-Arbitrary-C...
http://www.openwall.com/lists/oss-security/2023/07/12/1
https://lists.apache.org/thread/1s8j2c8kogthtpv3060yddk03zq0pxyp
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 apache rocketmq * Up to
(excluding)
5.1.1
阿里云评分
9.5
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    POC 已公开
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    传输被破坏
  • 服务器危害
    服务器失陷
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-94 对生成代码的控制不恰当(代码注入)
阿里云安全产品覆盖情况