遵纪守法

任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益

漏洞描述

RocketMQ是阿里巴巴在2012年开发的分布式消息中间件，专为万亿级超大规模的消息处理而设计，具有高吞吐量、低延迟、海量堆积、顺序收发等特点。它是阿里巴巴双十一购物狂欢节和众多大规模互联网业务场景的必备基础设施。

❝

这是一个容易被低估的漏洞，官方对此的描述较为含糊，让人以为是只有具备一定条件才能利用。实际上这个漏洞，只要攻击者可以访问到RocketMQ的broker即可利用，无需访问name server等其他服务。RocketMQ存在一个API可以用来更新RocketMQ的配置项，而其中又有一个配置项被插入到命令中导致了命令注入漏洞。最后，在没有配置身份认证的情况下，攻击者就通过这个更新配置的API在broker中执行任意命令。

❞

风险等级

高

影响版本

Apache RocketMQ <= 5.1.0
Apache RocketMQ <= 4.9.5

资产确定

protocol="rocketmq"

EXP

https://github.com/I5N0rth/CVE-2023-33246

https://github.com/vulhub/vulhub/tree/master/rocketmq/CVE-2023-33246

readme已经写的很详细了

修复建议

目前官方以发布安全修复更新，受影响用户可以升级到Apache RocketMQ 5.1.1或者4.9.6。

https://rocketmq.apache.org/download/