【漏洞通告】Apache ActiveMQ Jolokia 代码执行漏洞(CVE-2022-41678)

admin 2023年12月2日04:12:23评论22 views字数 815阅读2分43秒阅读模式



漏洞描述

Apache ActiveMQ是一个开源的消息代理和集成模式服务应用,用于实现消息中间件,帮助不同的应用程序或系统之间进行通信。

美创第59号实验室监测到Apache官方发布了ActiveMQ Jolokia的风险通告,漏洞编号:CVE-2022-41678,漏洞等级:高危。该漏洞存在于Jolokia服务的请求处理方式中,结合ActiveMQ的配置不当和Java的高级功能,允许已认证的用户通过发送特定格式的HTTP请求来执行危险操作。ActiveMQ的内部配置允许org.jolokia.http.AgentServlet处理来自/api/jolokia的请求,而没有足够的安全检查来防止恶意操作,成功利用此漏洞可导致远程代码执行。




影响范围
影响版本:
  • Apache ActiveMQ < 5.16.6
  • 5.17.0< Apache ActiveMQ < 5.17.4

不受影响版本:
  • Apache ActiveMQ >= 5.17.4
  • Apache ActiveMQ >= 5.16.6
  • Apache ActiveMQ >= 6.0.0
  • Apache ActiveMQ >= 5.18.0




处置建议
目前,Apache ActiveMQ官方已发布漏洞修复版本,建议受影响的用户建议更新至安全版本:
(1)5.16.x 系列更新至5.16.6(安全)以上
(2)5.17.x 系列更新至5.17.4(安全)以上
(3)5.18.x系列和6.0.x系列不受影响
下载链接:
https://activemq.apache.org/


【漏洞通告】Apache ActiveMQ Jolokia 代码执行漏洞(CVE-2022-41678)

美创科技旗下第59号实验室,专注于数据安全技术领域研究,聚焦于安全防御理念、攻防技术、威胁情报等专业研究,进行知识产权转化并赋能于产品。累计向CNVD、CNNVD等平台提报数千个高质量原创漏洞,发明专利数十篇,团队著有《数据安全实践指南》


原文始发于微信公众号(第59号):【漏洞通告】Apache ActiveMQ Jolokia 代码执行漏洞(CVE-2022-41678)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月2日04:12:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞通告】Apache ActiveMQ Jolokia 代码执行漏洞(CVE-2022-41678)https://cn-sec.com/archives/2255779.html

发表评论

匿名网友 填写信息