一、漏洞描述
Apache RocketMQ 是一款开源的分布式消息系统,基于高可用分布式集群技术,提供低延时的、高可靠的消息发布与订阅服务。
由于CVE-2023-33246的补丁修复不完善,导致在Apache RocketMQ NameServer存在未授权访问的情况下,攻击者能够以Apache RocketMQ运行的系统用户身份执行命令,对应漏洞编号为CVE-2023-37582。
二、漏洞等级
高
三、影响范围
5.0.0 <= Apache RocketMQ <= 5.1.1
4.0.0 <= Apache RocketMQ <= 4.9.6
四、安全版本
Apache RocketMQ 5.1.2
Apache RocketMQ 4.9.7
五、修复建议
将Apache RocketMQ升级到4.9.7版本或5.1.2版本及以上
六、参考链接
https://www.openwall.com/lists/oss-security/2023/07/12/1
https://nvd.nist.gov/vuln/detail/CVE-2023-37582
https://github.com/apache/rocketmq/pull/6843