CVE-2023-46604

Apache ActiveMQ Legacy Openwire Module sérülékenysége
Angol cím: Apache ActiveMQ Legacy Openwire Module vulnerability

Publikálás dátuma: 2023.10.27.
Utolsó módosítás dátuma: 2023.11.28.

Leírás

Nem megbízható adatok deszerializációja: Az applikáció úgy deszerializálja a nem megbízható adatokat, hogy nem ellenőrzi az eredmény hitelességét.

Elemzés leírás

Eredeti nyelven: The Java OpenWire protocol marshaller is vulnerable to Remote Code
Execution. This vulnerability may allow a remote attacker with network
access to either a Java-based OpenWire broker or client to run arbitrary
shell commands by manipulating serialized class types in the OpenWire
protocol to cause either the client or the broker (respectively) to
instantiate any class on the classpath.

Users are recommended to upgrade
both brokers and clients to version 5.15.16, 5.16.7, 5.17.6, or 5.18.3
which fixes this issue.

Hatás

Következmények

Hivatkozások

activemq.apache.org
lists.debian.org
packetstormsecurity.com
security.netapp.com
www.openwall.com

Sérülékeny szoftverek

Apache Software Foundation ActiveMQ 5.15.16-nál korábbi verziók
Apache Software Foundation ActiveMQ 5.16.0 verziótól és az 5.16.7-nél korábbiak
Apache Software Foundation ActiveMQ 5.17.0 verziótól és az 5.17.6-nál korábbiak
Apache Software Foundation ActiveMQ 5.18.0 verziótól és az 5.18.3-nál korábbiak
Apache / ActiveMQ Legacy Openwire Module 5.15.16-nál korábbi verziók
Apache Software Foundation ActiveMQ Legacy Openwire Module 5.16.0 verziótól és az 5.16.7-nél korábbiak
Apache Software Foundation ActiveMQ Legacy Openwire Module 5.17.0 verziótól és az 5.17.6-nál korábbiak
Apache Software Foundation ActiveMQ Legacy Openwire Module 5.18.0 verziótól és az 5.18.3-nál korábbiak

Címkék

ActiveMQ Apache