提交需求
*
*

*
*
*
立即提交
点击”立即提交”,表明我理解并同意 《美创科技隐私条款》

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于美创

    申请试用
      【漏洞通告】Apache ActiveMQ Jolokia 代码执行漏洞(CVE-2022-41678)
      发布时间:2023-11-30 阅读次数: 1091 次

      漏洞描述
      Apache ActiveMQ是一个开源的消息代理和集成模式服务应用,用于实现消息中间件,帮助不同的应用程序或系统之间进行通信。
      美创第59号实验室监测到Apache官方发布了ActiveMQ Jolokia的风险通告,漏洞编号:CVE-2022-41678,漏洞等级:高危。该漏洞存在于Jolokia服务的请求处理方式中,结合ActiveMQ的配置不当和Java的高级功能,允许已认证的用户通过发送特定格式的HTTP请求来执行危险操作。ActiveMQ的内部配置允许org.jolokia.http.AgentServlet处理来自/api/jolokia的请求,而没有足够的安全检查来防止恶意操作,成功利用此漏洞可导致远程代码执行。


      影响范围
      影响版本:
      Apache ActiveMQ < 5.16.6
      5.17.0< Apache ActiveMQ < 5.17.4
      不受影响版本:
      Apache ActiveMQ >= 5.17.4
      Apache ActiveMQ >= 5.16.6
      Apache ActiveMQ >= 6.0.0
      Apache ActiveMQ >= 5.18.0


      处置建议
      目前,Apache ActiveMQ官方已发布漏洞修复版本,建议受影响的用户建议更新至安全版本:
      (1)5.16.x 系列更新至5.16.6(安全)以上
      (2)5.17.x 系列更新至5.17.4(安全)以上
      (3)5.18.x系列和6.0.x系列不受影响
      下载链接:
      https://activemq.apache.org/
      免费试用
      服务热线

      马上咨询

      400-811-3777

      回到顶部