HackerNews 编译,转载请注明出处:
Horizon3.ai报告,Apache ActiveMQ Classic中潜伏13年的远程代码执行(RCE)漏洞可与旧漏洞链接以绕过认证。
Apache ActiveMQ是开源消息和集成模式服务器,作为处理消息队列的中间件代理,广泛应用于众多行业。ActiveMQ Classic是该代理的原始版本。
新发现的漏洞编号CVE-2026-34197,允许攻击者通过Jolokia API调用管理操作,诱使代理检索远程配置文件并执行操作系统命令。
据Horizon3.ai称,该安全缺陷是CVE-2022-41678的绕过方案——该漏洞允许攻击者通过调用特定JDK MBean将Web shell写入磁盘。修复方案添加了一个标志,允许通过Jolokia调用每个ActiveMQ MBean的所有操作。代码执行问题出现在运行时设置代理间桥接的操作中。
然而,该漏洞的利用还需针对ActiveMQ的VM传输功能——该功能设计用于在应用程序内嵌入代理,导致客户端和代理在同一JVM内直接通信。
如果VM传输URI引用不存在的代理,ActiveMQ会创建一个,并接受指示其加载可能包含攻击者提供URL的配置参数。
通过链接这两种机制,攻击者可诱使代理检索并运行Spring XML配置文件,”实例化所有bean定义,导致远程代码执行”,Horizon3.ai表示。
该网络安全公司还指出,在某些部署中,可通过利用CVE-2024-32114实现无需认证的RCE——该漏洞将Jolokia API暴露给未经认证的用户。
“CVE-2024-32114是ActiveMQ 6.x中的独立漏洞,/api/*路径(包括Jolokia端点)被无意中从Web控制台的安全约束中移除。这意味着在ActiveMQ 6.0.0至6.1.1版本中,Jolokia完全无需认证,”Horizon3.ai解释。
新发现的安全缺陷已在ActiveMQ Classic 5.19.4和6.2.3版本中修复,建议用户尽快更新部署。
消息来源:securityweek.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文