Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-04396

Опубликовано: 12 июл. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Критический

Описание

Уязвимость компонента NameServer платформы обмена сообщениями RocketMQ связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды от имени пользователя

Вендор

Apache Software Foundation

Наименование ПО

RocketMQ

Версия ПО

до 4.9.6 включительно (RocketMQ)
от 5.0.0 до 5.1.1 включительно (RocketMQ)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://lists.apache.org/thread/m614czxtpvlztd7mfgcs2xcsg36rdbnc

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.93986
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-37582

CVSS3: 9.8
nvd
больше 2 лет назад

The RocketMQ NameServer component still has a remote command execution vulnerability as the CVE-2023-33246 issue was not completely fixed in version 5.1.1. When NameServer address are leaked on the extranet and lack permission verification, an attacker can exploit this vulnerability by using the update configuration function on the NameServer component to execute commands as the system users that RocketMQ is running as. It is recommended for users to upgrade their NameServer version to 5.1.2 or above for RocketMQ 5.x or 4.9.7 or above for RocketMQ 4.x to prevent these attacks.

github логотип

GHSA-gpq8-963w-8qc9

CVSS3: 9.8
github
больше 2 лет назад

RocketMQ NameServer component Code Injection vulnerability

EPSS

Процентиль: 100%
0.93986
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2