服务公告

全部公告 > 安全公告 > Apache RocketMQ 远程代码执行漏洞预警(CVE-2023-37582)

Apache RocketMQ 远程代码执行漏洞预警(CVE-2023-37582)

2023-07-14

一、概要

近日，华为云关注到Apache RocketMQ 官方发布安全公告，披露在Apache RocketMQ特定版本中存在一处远程代码执行漏洞（CVE-2023-37582）。由于CVE-2023-33246漏洞未完全修复，当NameServer组件在外网暴露且缺乏权限验证时，攻击者可以利用该漏洞更新NameServer组件的配置，以RocketMQ运行的系统用户身份执行命令。目前漏洞利用细节已公开，风险高。

Apache RocketMQ是一个开源的分布式消息中间件系统，适用于大规模分布式系统中的消息通信和数据同步。华为云提醒使用Apache RocketMQ的用户尽快安排自检并做好安全加固。

参考链接：

https://www.cve.org/CVERecord?id=CVE-2023-37582

https://lists.apache.org/thread/m614czxtpvlztd7mfgcs2xcsg36rdbnc

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Apache RocketMQ < 4.9.7

Apache RocketMQ < 5.1.2

安全版本：

Apache RocketMQ 5.x >= 5.1.2

Apache RocketMQ 4.x >= 4.9.7

四、漏洞处置

目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本：

https://rocketmq.apache.org/download/

服务公告

Apache RocketMQ 远程代码执行漏洞预警(CVE-2023-37582)

2023-07-14

7*24

备案

专业服务

退订

建议反馈

售前咨询热线