| 【漏洞预警】关于Apache RocketMQ命令注入漏洞的风险提示 |
|
|
一、背景介绍 近日,监测到Apache RocketMQ发布了安全通告,修复了一个安全漏洞(CVE-2023-33246)。 1.1 漏洞描述 Apache RocketMQ存在命令注入漏洞。Apache RocketMQ中的多个组件缺乏权限验证,攻击者可以通过使用更新配置功能,以RocketMQ运行的系统用户执行命令。此外,攻击者还可以通过伪造RocketMQ协议内容达到相同的利用效果。 1.2 漏洞编号 CVE-2023-33246 1.3漏洞等级 高危
二、修复建议 2.1影响版本 Apache RocketMQ 5.x < 5.1.1 Apache RocketMQ 4.x < 4.9.6 2.2修复建议 厂商已发布了漏洞修复程序,建议用户升级到如下版本: Apache RocketMQ 5.1.1 Apache RocketMQ 4.9.6 官方下载地址:https://rocketmq.apache.org/zh/download |
 |
|
Copyright © 2014 East China University Science and Technology. All rights reserved 版权所有 © 2014 华东理工大学信息化办公室 |