遵纪守法
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益
漏洞描述
RocketMQ是阿里巴巴在2012年开发的分布式消息中间件,专为万亿级超大规模的消息处理而设计,具有高吞吐量、低延迟、海量堆积、顺序收发等特点。它是阿里巴巴双十一购物狂欢节和众多大规模互联网业务场景的必备基础设施。
❝
这是一个容易被低估的漏洞,官方对此的描述较为含糊,让人以为是只有具备一定条件才能利用。实际上这个漏洞,只要攻击者可以访问到RocketMQ的broker即可利用,无需访问name server等其他服务。RocketMQ存在一个API可以用来更新RocketMQ的配置项,而其中又有一个配置项被插入到命令中导致了命令注入漏洞。最后,在没有配置身份认证的情况下,攻击者就通过这个更新配置的API在broker中执行任意命令。
❞
风险等级
高
影响版本
Apache RocketMQ <= 5.1.0
Apache RocketMQ <= 4.9.5
资产确定
protocol="rocketmq"
POC
https://github.com/I5N0rth/CVE-2023-33246
https://github.com/vulhub/vulhub/tree/master/rocketmq/CVE-2023-33246
readme已经写的很详细了
修复建议
目前官方以发布安全修复更新,受影响用户可以升级到Apache RocketMQ 5.1.1或者4.9.6。
https://rocketmq.apache.org/download/
交流二群来啦!
关注公众号
下面就是团队的公众号啦,更新的文章都会在第一时间推送在公众号
73篇原创内容
支持作者
另:于传播、利用本公众号CKCsec安全研究院所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,CKCsec安全研究院及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
原文始发于微信公众号(CKCsec安全研究院):Apache RocketMQ远程代码执行漏洞(CVE-2023-33246)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论