遵纪守法
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益
漏洞描述
RocketMQ是阿里巴巴在2012年开发的分布式消息中间件,专为万亿级超大规模的消息处理而设计,具有高吞吐量、低延迟、海量堆积、顺序收发等特点。它是阿里巴巴双十一购物狂欢节和众多大规模互联网业务场景的必备基础设施。
❝
这是一个容易被低估的漏洞,官方对此的描述较为含糊,让人以为是只有具备一定条件才能利用。实际上这个漏洞,只要攻击者可以访问到RocketMQ的broker即可利用,无需访问name server等其他服务。RocketMQ存在一个API可以用来更新RocketMQ的配置项,而其中又有一个配置项被插入到命令中导致了命令注入漏洞。最后,在没有配置身份认证的情况下,攻击者就通过这个更新配置的API在broker中执行任意命令。
❞
风险等级
高
影响版本
Apache RocketMQ <= 5.1.0
Apache RocketMQ <= 4.9.5
资产确定
protocol="rocketmq"
EXP
https://github.com/I5N0rth/CVE-2023-33246
https://github.com/vulhub/vulhub/tree/master/rocketmq/CVE-2023-33246
readme已经写的很详细了
修复建议
目前官方以发布安全修复更新,受影响用户可以升级到Apache RocketMQ 5.1.1或者4.9.6。
https://rocketmq.apache.org/download/
文章来源:CKCsec安全研究院
如侵权请私聊公众号删文
原文始发于微信公众号(EchoSec):CVE-2023-33246 RCE漏洞(附EXP)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论