漏洞名称:
Apache ActiveMQ 远程命令执行漏洞
漏洞描述:
2023 年 10 月 25 日,监测到一则 Apache ActiveMQ
组件存在远程命令执行漏洞的信息,ActiveMQ 存在一个远程命令执行漏洞,
攻
击者可以通过默认的 61616 服务端口利用该漏洞执行恶意命令,导致服务
器失陷
。
漏洞编号:暂无,漏洞威胁等级:
高危
。
4
组件介绍:
Apache ActiveMQ 是最流行的开源、多协议、基于 Java 的消息代理。
它支持行业标准协议,因此用户可以从多种语言和平台的客户端选择中受益。从
使用 JavaScript、C、C++、Python、.Net 等编写的客户端进行连接。
影响范围:
Apache ActiveMQ < 5.18.3
Apache ActiveMQ < 5.17.6
利用条件:
1、用户认证:不需要用户认证
2、前置条件:默认配置
3、触发方式:远程
<综合评定利用难度>:容易,无需授权即可远程命令执行。
<综合评定威胁等级>:高危,能造成远程命令执行。
官方修复建议
:
当前官方已发布受影响版本的对应补丁(当前官方已发布最新版本),建议
受影响的用户及时更新官方的安全补丁(及时更新升级到最新版本)。
链接如下:
https://github.com/apache/activemq/tags