Apache RocketMQ 远程代码执行漏洞

• 漏洞编号：CVE-2023-37582
  
• 漏洞类型：远程命令执行(RCE)
• 漏洞等级：严重
• 发布时间：2023-07-13

漏洞描述：

Apache RocketMQ是一款低延迟、高并发、高可用、高可靠的分布式消息中间件。

2023年7月12日，RocketMQ发布了 5.1.2和4.9.7版本，新版本中修复了一处远程代码执行漏洞，漏洞编号：CVE-2023-37582，漏洞危害等级：严重，漏洞EXP当前已公开。

由于 CVE-2023-33246 的补丁中的修复不完善，导致在Apache RocketMQ NameServer 存在未授权访问的情况下，攻击者可构造恶意请求以RocketMQ运行的系统用户身份执行命令。

影响版本：

修复建议

官方已发布新版本中修复上述漏洞，受影响用户请尽快升级到安全版本。
漏洞修复版本：
RocketMQ >= 5.1.2
RocketMQ >= 4.9.7下载链接：
https://rocketmq.apache.org/download

参考链接:

http://www.openwall.com/lists/oss-security/2023/07/12/1
https://github.com/apache/rocketmq/pull/6843
https://lists.apache.org/thread/m614czxtpvlztd7mfgcs2xcsg36rdbnc