2023年9月6日摄星科技“关键漏洞目录”新增一个Apache RocketMQ漏洞,关键漏洞目录漏洞总数增加到988个。
已被添加到CISA KEV、关键漏洞目录、僵尸网络相关、Dreambus
CVSS v3.1评分:9.8
漏洞级别:超危
Apache RocketMQ 5.1.0及之前版本在某些情况下,存在远程命令执行的风险。RocketMQ的NameServer、Broker和Controller组件对外暴露且缺乏权限验证,攻击者可以通过使用更新配置功能作为RocketMQ运行的系统用户执行命令来利用此漏洞。此外,攻击者还可以通过伪造RocketMQ协议内容来达到同样的效果。DreamBus僵尸网络等多个威胁组织正在使用此漏洞。
Apache RocketMQ <= 5.1.0
Rocket MQ 4.x升级到4.9.6或更高版,RocketMQ 5.x用户升级到5.1.1或更高版本,可从Apache网站获得:
https://lists.apache.org/thread/1s8j2c8kogthtpv3060yddk03zq0pxyp
“关键漏洞目录”由摄星科技维护,可通过https://www.vulinsight.com.cn/#/kvc查看详细内容。并可下载CSV、JSON格式全量漏洞数据。
企业用户可通过漏洞情报SaaS平台、漏洞管控平台、知识库VKB平台获取服务和支持。