Apache RocketMQ 远程代码执行漏洞（CVE-2023-33246）

漏洞预警 1年前 (2023) bugwarning

694 0 0

漏洞简介

RocketMQ 5.1.0及以下版本，在一定条件下，存在远程命令执行风险。RocketMQ的NameServer、Broker、Controller等多个组件外网泄露，缺乏权限验证，攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外，攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。
影响版本
5.0.0

4.0.0

安全版本
Apache RocketMQ 5.1.1
Apache RocketMQ 4.9.6
漏洞复现
在本地创建 maven 项目并添加依赖
dependencies> .....

阅读原文