CVE-2023-37582 中,由于对 CVE-2023-33246 修复不完善,导致在Apache RocketMQ NameServer 存在未授权访问的情况下,攻击者可构造恶意请求以RocketMQ运行的系统用户身份执行命令。 影响版本 Apache RocketMQ <= 5.1.1 Apache RocketMQ <= 4.9.6 环境搭建 参考Apache RocketMQ远程代码执行漏洞CVE-2023-33246 的环境搭...
CVE-2023-37582 中,由于对 CVE-2023-33246 修复不完善,导致在Apache RocketMQ NameServer 存在未授权访问的情况下,攻击者可构造恶意请求以RocketMQ运行的系统用户身份执行命令。 影响版本 Apache RocketMQ <= 5.1.1Apache RocketMQ <= 4.9.6 环境搭建 参考Apache RocketMQ 远程代码执行漏洞 CVE-2023-33246 的环境...
CVE-2023-37582 中,由于对 CVE-2023-33246 修复不完善,导致在Apache RocketMQ NameServer 存在未授权访问的情况下,攻击者可构造恶意请求以RocketMQ运行的系统用户身份执行命令。 影响版本 Apache RocketMQ <= 5.1.1Apache RocketMQ <= 4.9.6 环境搭建 参考Apache RocketMQ 远程代码执行漏洞 CVE-2023-33246 的环境...
CVE-2023-37582 是一个存在于 Apache RocketMQ NameServer 组件中的远程代码执行漏洞。该漏洞允许攻击者在未授权的情况下,通过发送恶意请求来执行任意命令,对系统安全构成严重威胁。 2. 对 Apache RocketMQ NameServer 的影响 该漏洞主要影响 Apache RocketMQ 的 NameServer 组件。NameServer 是 RocketMQ 分布式消息系统...
2023年7月12日,RocketMQ发布了 5.1.2和4.9.7版本,新版本中修复了一处远程代码执行漏洞,漏洞编号:CVE-2023-37582,漏洞危害等级:严重,漏洞EXP当前已公开。 由于CVE-2023-33246 的补丁中的修复不完善,导致在Apache RocketMQ NameServer 存在未授权访问的情况下,攻击者可构造恶意请求以RocketMQ运行的系统用户身份执行命...
Apache RocketMQ是一个开源的分布式消息中间件系统,常用于大规模分布式应用程序中。然而,由于配置错误或安全漏洞,可能导致Apache RocketMQ Broker出现未授权访问漏洞。 在本文中,我们将介绍如何实现Apache RocketMQ Broker未授权访问漏洞(apache-rocketmq-broker-unauth),并详细说明每一步需要做什么以及相关的代码示例。
值得注意的是,即使升级到最新版本修复了漏洞,也强烈建议开启 Broker、NameServer 等组件的身份认证机制,未授权修改配置可能导致服务不可用等其他影响,故本次检测工具依旧是检测相关组件的未授权访问情况。 漏洞影响 RocketMQ < 4.9.7 RocketMQ < 5.1.2 网络测绘 FOFA:port=9876 && protocol="rocketmq" 漏洞复现 测...
https://github.com/apache/rocketmq 漏洞概述 在RocketMQ 5.1.1及以上版本中,当RocketMQ的NameServer暴露在外网且缺乏权限验证时,恶意攻击者可以通过未授权访问利用更新配置功能以RocketMQ运行的系统用户身份上传含有特定内容的文件到任意目录。此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。影响版本 ...
https://github.com/apache/rocketmq 漏洞概述 在RocketMQ 5.1.1及以上版本中,当RocketMQ的NameServer暴露在外网且缺乏权限验证时,恶意攻击者可以通过未授权访问利用更新配置功能以RocketMQ运行的系统用户身份上传含有特定内容的文件到任意目录。此外,攻击者可以通过伪造RocketMQ 协议内容来达到同样的效果。
https://github.com/apache/rocketmq 漏洞概述 在RocketMQ 5.1.1及以上版本中,当RocketMQ的NameServer暴露在外网且缺乏权限验证时,恶意攻击者可以通过未授权访问利用更新配置功能以RocketMQ运行的系统用户身份上传含有特定内容的文件到任意目录。此外,攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。