CVE-2023-46604


január 22. 13:54

Apache ActiveMQ Legacy Openwire Module sérülékenysége
Angol cím: Apache ActiveMQ Legacy Openwire Module vulnerability

Publikálás dátuma: 2023.10.27.
Utolsó módosítás dátuma: 2023.11.28.

Leírás

Nem megbízható adatok deszerializációja: Az applikáció úgy deszerializálja a nem megbízható adatokat, hogy nem ellenőrzi az eredmény hitelességét.

Leírás forrása: CWE-502

Elemzés leírás

Eredeti nyelven: The Java OpenWire protocol marshaller is vulnerable to Remote Code
Execution. This vulnerability may allow a remote attacker with network
access to either a Java-based OpenWire broker or client to run arbitrary
shell commands by manipulating serialized class types in the OpenWire
protocol to cause either the client or the broker (respectively) to
instantiate any class on the classpath.

Users are recommended to upgrade
both brokers and clients to version 5.15.16, 5.16.7, 5.17.6, or 5.18.3
which fixes this issue.

Elemzés leírás forrása: CVE-2023-46604

Hatás

CVSS3.1 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 3.9

Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

Következmények

Loss of availability (Elérhetőség elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

activemq.apache.org
lists.debian.org
packetstormsecurity.com
security.netapp.com
www.openwall.com

Sérülékeny szoftverek

Apache Software Foundation ActiveMQ 5.15.16-nál korábbi verziók
Apache Software Foundation ActiveMQ 5.16.0 verziótól és az 5.16.7-nél korábbiak
Apache Software Foundation ActiveMQ 5.17.0 verziótól és az 5.17.6-nál korábbiak
Apache Software Foundation ActiveMQ 5.18.0 verziótól és az 5.18.3-nál korábbiak
Apache / ActiveMQ Legacy Openwire Module 5.15.16-nál korábbi verziók
Apache Software Foundation ActiveMQ Legacy Openwire Module 5.16.0 verziótól és az 5.16.7-nél korábbiak
Apache Software Foundation ActiveMQ Legacy Openwire Module 5.17.0 verziótól és az 5.17.6-nál korábbiak
Apache Software Foundation ActiveMQ Legacy Openwire Module 5.18.0 verziótól és az 5.18.3-nál korábbiak

Címkék

ActiveMQ Apache

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »