漏洞概要

漏洞名称	Apache RocketMQ远程命令执行漏洞CVE-2023-37582
发布时间	2023年07月17日
组件名称	Apache RocketMQ
影响范围	Apache RocketMQ < 4.9.7 Apache RocketMQ < 5.1.2
漏洞类型	远程命令执行
利用条件	1、用户认证：不需要用户认证 2、前置条件：默认配置 3、触发方式：远程
综合评价	<综合评定利用难度>：容易，无需授权即可远程命令执行。 <综合评定威胁等级>：高危，能造成远程命令执行。
官方解决方案	已发布

漏洞分析

Apache RocketMQ 是一个高可靠性、高性能、可扩展的分布式消息中间件系统，适用于大规模分布式系统中的消息传递和异步通信。

RocketMQ 提供了可靠的消息传递机制，支持高吞吐量和低延迟的消息处理，并具有可横向扩展的能力。它适用于各种场景，包括实时数据处理、大规模数据集成、日志收集和分析、异步通信等。

2023年7月17日，深信服安全团队监测到一则Apache RocketMQ组件存在远程命令执行漏洞的信息，漏洞编号：CVE-2023-37582，漏洞威胁等级：高危。

该漏洞是由于RocketMQ的NameServer组件缺乏有效的身份认证，攻击者可利用该漏洞在未授权的情况下，利用更新配置功能构造恶意数据远程命令执行攻击，最终获取服务器最高权限。

目前受影响的Apache RocketMQ版本：

Apache RocketMQ < 4.9.7

Apache RocketMQ < 5.1.2

1.如何检测组件系统版本

在根目录下执行sh bin/mqadmin --version可获取当前安装版本日期。

2.官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。