漏洞基本信息
漏洞名称: | Apache RocketMQ 代码注入漏洞 |
CNNVD编号: | CNNVD-202305-2101 |
CVE编号: | CVE-2023-33246 |
漏洞类型: | 代码注入 |
危害等级: | 超危 |
漏洞版本: | 5.0.0 <= Apache RocketMQ < 5.1.1,4.0.0 <= Apache RocketMQ < 4.9.6 |
安全版本: | >=4.9.6或>=5.1.1 |
厂商: | 阿帕奇 |
信息来源: | https://www.cnnvd.org.cn/home/globalSearch?keyword=CVE-2023-33246 |
收录时间: | 2023-05-24 |
漏洞简介
Apache RocketMQ是美国阿帕奇(Apache)基金会的一款轻量级的数据处理平台和消息传递引擎。
Apache RocketMQ 5.1.0及之前版本存在代码注入漏洞,该漏洞源于存在远程命令执行漏洞,攻击者可以利用该漏洞利用更新配置功能以系统用户身份执行命令。
解决方法
以下方案可任选一种(建议选择第二种):
(1)临时缓解方案:在conf/broker.conf中针对Broker服务添加身份认证,确保只有授权用户才能访问和操作RocketMQ的消息队列。
(2)RocketMQ 4.x版本的用户升级至4.9.6或以上版本,RocketMQ 5.x版本的用户升级至5.1.1或以上版本。
我要纠错