【漏洞通告】Apache RocketMQ远程命令执行漏洞

0x01 漏洞信息

漏洞编号：CVE-2023-37582

漏洞等级：高

披漏时间：2023年07月12日

该漏洞是由于RocketMQ的NameServer组件缺乏有效的身份认证，攻击者可利用该漏洞在未授权的情况下，利用更新配置功能构造恶意数据远程命令执行攻击，最终获取服务器最高权限。

脆弱组件覆盖面	利用门槛	POC工具	EXP工具
广	低	已公开	未公开

Apache RocketMQ < 5.1.2、Apache RocketMQ < 4.9.7

用户尽快排查所有应用系统RocketMQ应用版本是否在Apache RocketMQ < 5.1.2、Apache RocketMQ < 4.9.7之间。若存在应用使用，极大可能会受到影响。

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：https://github.com/apache/rocketmq

推荐站内搜索：最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……

ZhouSa.com