CVE-2023-37582

CRÍTIC: (9,8)

CVSS3: 8,5

Apache RocketMQ podria permetre a un atacant remot executar ordres arbitràries al sistema, causat per un error en utilitzar la funció de configuració d’actualitzacions. Mitjançant l’enviament d’una sol·licitud especialment dissenyada, l’atacant podria explotar aquesta vulnerabilitat per executar ordres arbitràries al sistema.

Sistemes Afectats

• Apache RocketMQ 4.9.6
• Apache RocketMQ 5.0.0
• Apache RocketMQ 5.1.1

Remediació
Actualitzeu a l’última versió d’Apache RocketMQ (4.9.7, 5.1.2 o posterior), disponible en el lloc web d’Apache. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://seclists.org/oss-sec/2023/q3/33
• https://rocketmq.apache.org/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-37582