CVE-2023-46604


2024. január 22. 13:54

Apache ActiveMQ Legacy Openwire Module sérülékenysége
Angol cím: Apache ActiveMQ Legacy Openwire Module vulnerability

Publikálás dátuma: 2023.10.27.
Utolsó módosítás dátuma: 2023.11.28.

Leírás

Nem megbízható adatok deszerializációja: Az applikáció úgy deszerializálja a nem megbízható adatokat, hogy nem ellenőrzi az eredmény hitelességét.

Leírás forrása: CWE-502

Elemzés leírás

Eredeti nyelven: The Java OpenWire protocol marshaller is vulnerable to Remote Code
Execution. This vulnerability may allow a remote attacker with network
access to either a Java-based OpenWire broker or client to run arbitrary
shell commands by manipulating serialized class types in the OpenWire
protocol to cause either the client or the broker (respectively) to
instantiate any class on the classpath.

Users are recommended to upgrade
both brokers and clients to version 5.15.16, 5.16.7, 5.17.6, or 5.18.3
which fixes this issue.

Elemzés leírás forrása: CVE-2023-46604

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 9.8 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 3.9

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High

Következmények

Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

activemq.apache.org
lists.debian.org
packetstormsecurity.com
security.netapp.com
www.openwall.com

Sérülékeny szoftverek

Apache Software Foundation ActiveMQ 5.15.16-nál korábbi verziók
Apache Software Foundation ActiveMQ 5.16.0 verziótól és az 5.16.7-nél korábbiak
Apache Software Foundation ActiveMQ 5.17.0 verziótól és az 5.17.6-nál korábbiak
Apache Software Foundation ActiveMQ 5.18.0 verziótól és az 5.18.3-nál korábbiak
Apache / ActiveMQ Legacy Openwire Module 5.15.16-nál korábbi verziók
Apache Software Foundation ActiveMQ Legacy Openwire Module 5.16.0 verziótól és az 5.16.7-nél korábbiak
Apache Software Foundation ActiveMQ Legacy Openwire Module 5.17.0 verziótól és az 5.17.6-nál korábbiak
Apache Software Foundation ActiveMQ Legacy Openwire Module 5.18.0 verziótól és az 5.18.3-nál korábbiak

Címkék

ActiveMQ Apache

Legfrissebb sérülékenységek
CVE-2026-24858 – Fortinet Multiple Products Authentication Bypass Using an Alternate Path or Channel sérülékenység
CVE-2026-1448 – D-Link sérülékenysége
CVE-2026-23745 – “node-tar” Library Path Traversal sérülékenység
CVE-2026-21509 – Microsoft Office Security Feature Bypass sérülékenység
CVE-2026-24061 – GNU InetUtils Argument Injection sérülékenység
CVE-2026-23760 – SmarterTools SmarterMail Authentication Bypass Using an Alternate Path or Channel sérülékenység
CVE-2025-52691 – SmarterTools SmarterMail Unrestricted Upload of File with Dangerous Type sérülékenység
CVE-2018-14634 – Linux Kernel Integer Overflow sérülékenység
CVE-2025-54313 – Prettier eslint-config-prettier Embedded Malicious Code sérülékenység
CVE-2025-31125 – Vite Vitejs Improper Access Control sérülékenység
Tovább a sérülékenységekhez »