PT-2024-5329 · Apache · Rocketmq
Baochengzhang
·
Publicado
2024-01-15
·
Atualizado
2024-09-10
·
CVE-2024-23321
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 5.2.0 e anteriores do RocketMQ
Descrição
O problema está relacionado à proteção insuficiente dos dados de serviço na plataforma de mensagens RocketMQ. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas. Sob certas condições, mesmo com as funções de autenticação e autorização ativadas, existe o risco de expor informações confidenciais a um agente não autorizado. Um invasor com privilégios de usuário comum ou listado na lista de IPs autorizados poderia potencialmente obter a conta e a senha do administrador por meio de interfaces específicas, o que lhe concederia controle total sobre o RocketMQ caso tivesse acesso à lista de endereços IP do broker.
Recomendações
Para as versões 5.2.0 e anteriores do RocketMQ, atualize para a versão 5.3.0 ou mais recente para mitigar as ameaças à segurança. Ao atualizar para a versão Apache RocketMQ 5.3.0, use o RocketMQ ACL 2.0 em vez do RocketMQ ACL original.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rocketmq