CVE-2023-46604


január 22. 13:54

Apache ActiveMQ Legacy Openwire Module sérülékenysége
Angol cím: Apache ActiveMQ Legacy Openwire Module vulnerability

Publikálás dátuma: 2023.10.27.
Utolsó módosítás dátuma: 2023.11.28.

Leírás

Nem megbízható adatok deszerializációja: Az applikáció úgy deszerializálja a nem megbízható adatokat, hogy nem ellenőrzi az eredmény hitelességét.

Leírás forrása: CWE-502

Elemzés leírás

Eredeti nyelven: The Java OpenWire protocol marshaller is vulnerable to Remote Code
Execution. This vulnerability may allow a remote attacker with network
access to either a Java-based OpenWire broker or client to run arbitrary
shell commands by manipulating serialized class types in the OpenWire
protocol to cause either the client or the broker (respectively) to
instantiate any class on the classpath.

Users are recommended to upgrade
both brokers and clients to version 5.15.16, 5.16.7, 5.17.6, or 5.18.3
which fixes this issue.

Elemzés leírás forrása: CVE-2023-46604

Hatás

CVSS3.1 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 3.9

Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

Következmények

Loss of availability (Elérhetőség elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

activemq.apache.org
lists.debian.org
packetstormsecurity.com
security.netapp.com
www.openwall.com

Sérülékeny szoftverek

Apache Software Foundation ActiveMQ 5.15.16-nál korábbi verziók
Apache Software Foundation ActiveMQ 5.16.0 verziótól és az 5.16.7-nél korábbiak
Apache Software Foundation ActiveMQ 5.17.0 verziótól és az 5.17.6-nál korábbiak
Apache Software Foundation ActiveMQ 5.18.0 verziótól és az 5.18.3-nál korábbiak
Apache / ActiveMQ Legacy Openwire Module 5.15.16-nál korábbi verziók
Apache Software Foundation ActiveMQ Legacy Openwire Module 5.16.0 verziótól és az 5.16.7-nél korábbiak
Apache Software Foundation ActiveMQ Legacy Openwire Module 5.17.0 verziótól és az 5.17.6-nál korábbiak
Apache Software Foundation ActiveMQ Legacy Openwire Module 5.18.0 verziótól és az 5.18.3-nál korábbiak

Címkék

ActiveMQ Apache

Legfrissebb sérülékenységek
CVE-2024-20358 – Cisco ASA és FTD sérülékenysége
CVE-2024-20359 – Cisco ASA és FTD sérülékenysége
CVE-2024-20353 – Cisco ASA és FTD sérülékenysége
CVE-2024-31857 – WordPress Forminator plugin sérülékenysége
CVE-2024-31077 – WordPress Forminator plugin sérülékenysége
CVE-2024-28890 – WordPress Forminator plugin sérülékenysége
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
Tovább a sérülékenységekhez »