提交需求
*
*

*
*
*
立即提交
點擊”立即提交”,表明我理(lǐ)解并同意 《美創科(kē)技(jì )隐私條款》

logo

    産(chǎn)品與服務(wù)
    解決方案
    技(jì )術支持
    合作(zuò)發展
    關于美創
    申請試用(yòng)
      相關文(wén)章

      每周安(ān)全速遞³³⁴ | Lynx勒索組織聲稱攻擊CI Scientific

      2025-03-14

      每周安(ān)全速遞³³³ LCRYX 勒索軟件再次針對 Windows 系統發起攻擊

      2025-03-10

      每周安(ān)全速遞³³² | 惡意軟件 Shadowpad 被用(yòng)于部署新(xīn)型勒索軟件

      2025-02-28

      每周安(ān)全速遞³³¹CISA和FBI聯合發布Ghost勒索軟件威脅報告

      2025-02-21

      每周安(ān)全速遞³³⁰|國(guó)際行動搗毀8Base勒索軟件團夥

      2025-02-14
      【漏洞通告】Apache ActiveMQ Jolokia 代碼執行漏洞(CVE-2022-41678)
      發布時間:2023-11-30 閱讀次數: 1543 次

      漏洞描述
      Apache ActiveMQ是一個開源的消息代理(lǐ)和集成模式服務(wù)應用(yòng),用(yòng)于實現消息中(zhōng)間件,幫助不同的應用(yòng)程序或系統之間進行通信。
      美創第59号實驗室監測到Apache官方發布了ActiveMQ Jolokia的風險通告,漏洞編号:CVE-2022-41678,漏洞等級:高危。該漏洞存在于Jolokia服務(wù)的請求處理(lǐ)方式中(zhōng),結合ActiveMQ的配置不當和Java的高級功能(néng),允許已認證的用(yòng)戶通過發送特定格式的HTTP請求來執行危險操作(zuò)。ActiveMQ的内部配置允許org.jolokia.http.AgentServlet處理(lǐ)來自/api/jolokia的請求,而沒有(yǒu)足夠的安(ān)全檢查來防止惡意操作(zuò),成功利用(yòng)此漏洞可(kě)導緻遠(yuǎn)程代碼執行。


      影響範圍
      影響版本:
      Apache ActiveMQ < 5.16.6
      5.17.0< Apache ActiveMQ < 5.17.4
      不受影響版本:
      Apache ActiveMQ >= 5.17.4
      Apache ActiveMQ >= 5.16.6
      Apache ActiveMQ >= 6.0.0
      Apache ActiveMQ >= 5.18.0


      處置建議
      目前,Apache ActiveMQ官方已發布漏洞修複版本,建議受影響的用(yòng)戶建議更新(xīn)至安(ān)全版本:
      (1)5.16.x 系列更新(xīn)至5.16.6(安(ān)全)以上
      (2)5.17.x 系列更新(xīn)至5.17.4(安(ān)全)以上
      (3)5.18.x系列和6.0.x系列不受影響
      下載鏈接:
      https://activemq.apache.org/
      上一條:每周安(ān)全速遞²⁸⁵|北德(dé)克薩斯州市政水務(wù)區(qū)遭受勒索軟件攻擊
      下一條:CNVD漏洞周報2023年第42期
      免費試用(yòng)
      服務(wù)熱線(xiàn)

      馬上咨詢

      400-811-3777

      回到頂部