通知公告

关于RocketMQ远程代码注入漏洞的预警通报
发布日期:2023-05-25 16:44 浏览量:

RocketMQ远程代码注入漏洞,漏洞编号:CVE-2023-33246,漏洞威胁等级:高危。

该漏洞是由于NameServer、Broker、Controller等多个组件缺少必要的权限验证,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行远程代码执行攻击,最终获取目标服务器的系统用户权限。

(一)漏洞影响范围:

5.x≤RocketMQ≤5.1.0

4.x≤RocketMQ≤4.9.5

(二)漏洞修复建议:

官方解决方案:

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。

链接如下:https://rocketmq.apache.org/download