CVE-2022-41678

Nome do Software Vulnerável e Versões Afetadas Apache ActiveMQ versões anteriores a 5.16.6 Apache ActiveMQ versões anteriores a 5.17.4 Apache ActiveMQ versões anteriores a 5.18.0 Apache ActiveMQ versões anteriores a 6.0.0

Description Uma falha de autenticação no componente Jolokia permite que um usuário autenticado acione a execução de código arbitrário. Nas configurações do ActiveMQ, o Jetty permite que o org.jolokia.http.AgentServlet manipule requisições para o endpoint '/api/jolokia'. A função handlePostRequest() em org.jolokia.http.HttpRequestHandler pode criar um JmxRequest via JSONObject e chamar executeRequest(). Mais adiante na pilha de chamadas, doHandleRequest() em org.jolokia.handler.ExecHandler pode ser invocado por meio de reflexão. Isso pode levar à execução remota de código via vários MBeans, como a desserialização irrestrita em jdk.management.jfr.FlightRecorderMXBeanImpl em versões do Java superiores a 11. O processo de exploração envolve a chamada de newRecording(), setConfiguration() para ocultar dados de um webshell, startRecording() e o método copyTo para gravar o webshell em um arquivo .jsp.

Recommendations Atualize para as versões 5.16.6, 5.17.4, 5.18.0 ou 6.0.0 do Apache ActiveMQ para aplicar uma configuração do Jolokia mais restritiva. Desative o Jolokia ou restrinja as ações autorizadas no Jolokia para minimizar o risco de exploração.