Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-46604

Опубликовано: 27 окт. 2023
Источник: nvd
CVSS3: 10
CVSS3: 9.8
EPSS Критический

Описание

The Java OpenWire protocol marshaller is vulnerable to Remote Code Execution. This vulnerability may allow a remote attacker with network access to either a Java-based OpenWire broker or client to run arbitrary shell commands by manipulating serialized class types in the OpenWire protocol to cause either the client or the broker (respectively) to instantiate any class on the classpath.

Users are recommended to upgrade both brokers and clients to version 5.15.16, 5.16.7, 5.17.6, or 5.18.3 which fixes this issue.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:apache:activemq:*:*:*:*:*:*:*:*
Версия до 5.15.16 (исключая)
cpe:2.3:a:apache:activemq:*:*:*:*:*:*:*:*
Версия от 5.16.0 (включая) до 5.16.7 (исключая)
cpe:2.3:a:apache:activemq:*:*:*:*:*:*:*:*
Версия от 5.17.0 (включая) до 5.17.6 (исключая)
cpe:2.3:a:apache:activemq:*:*:*:*:*:*:*:*
Версия от 5.18.0 (включая) до 5.18.3 (исключая)
Конфигурация 2

Одно из

cpe:2.3:a:apache:activemq_legacy_openwire_module:*:*:*:*:*:*:*:*
Версия до 5.15.16 (исключая)
cpe:2.3:a:apache:activemq_legacy_openwire_module:*:*:*:*:*:*:*:*
Версия от 5.16.0 (включая) до 5.16.7 (исключая)
cpe:2.3:a:apache:activemq_legacy_openwire_module:*:*:*:*:*:*:*:*
Версия от 5.17.0 (включая) до 5.17.6 (исключая)
cpe:2.3:a:apache:activemq_legacy_openwire_module:*:*:*:*:*:*:*:*
Версия от 5.18.0 (включая) до 5.18.3 (исключая)
Конфигурация 3

Одно из

cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*
Конфигурация 4

Одно из

cpe:2.3:a:netapp:e-series_santricity_unified_manager:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:e-series_santricity_web_services_proxy:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:santricity_storage_plugin:-:*:*:*:*:vcenter:*:*

EPSS

Процентиль: 100%
0.94436
Критический

10 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-502

Связанные уязвимости

ubuntu логотип

CVE-2023-46604

CVSS3: 10
ubuntu
около 2 лет назад

The Java OpenWire protocol marshaller is vulnerable to Remote Code Execution. This vulnerability may allow a remote attacker with network access to either a Java-based OpenWire broker or client to run arbitrary shell commands by manipulating serialized class types in the OpenWire protocol to cause either the client or the broker (respectively) to instantiate any class on the classpath. Users are recommended to upgrade both brokers and clients to version 5.15.16, 5.16.7, 5.17.6, or 5.18.3 which fixes this issue.

redhat логотип

CVE-2023-46604

CVSS3: 9.8
redhat
около 2 лет назад

The Java OpenWire protocol marshaller is vulnerable to Remote Code Execution. This vulnerability may allow a remote attacker with network access to either a Java-based OpenWire broker or client to run arbitrary shell commands by manipulating serialized class types in the OpenWire protocol to cause either the client or the broker (respectively) to instantiate any class on the classpath. Users are recommended to upgrade both brokers and clients to version 5.15.16, 5.16.7, 5.17.6, or 5.18.3 which fixes this issue.

debian логотип

CVE-2023-46604

CVSS3: 10
debian
около 2 лет назад

The Java OpenWire protocol marshaller is vulnerable to Remote Code Ex ...

github логотип

GHSA-crg9-44h2-xw35

CVSS3: 10
github
около 2 лет назад

Apache ActiveMQ is vulnerable to Remote Code Execution

fstec логотип

BDU:2023-07372

CVSS3: 10
fstec
около 2 лет назад

Уязвимость программной платформы Apache ActiveMQ, связанная с восстановлением в памяти недостоверных данных, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 100%
0.94436
Критический

10 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-502