關于 Apache ActiveMQ 代碼問題漏洞情況的通報

近日，國家信息安全漏洞庫（CNNVD）收到關于Apache ActiveMQ 代碼問題漏洞（CNNVD-202311-2165、CVE-2022-41678）情況的報送。成功利用漏洞的攻擊者，可在目標服務器上執行任意代碼，獲取服務器的控制權限。Apache ActiveMQ 5.16.6之前版本，5.17.4之前版本至5.17.0之后版本均受此漏洞影響。目前，Apache官方已發布新版本修復了該漏洞，建議用戶及時確認產品版本，盡快采取修補措施。

一、漏洞介紹

Apache ActiveMQ是美國阿帕奇（Apache）基金會的一套開源的消息中間件，它支持Java消息服務、集群、Spring Framework等。Apache ActiveMQ存在代碼問題漏洞，該漏洞允許經過身份驗證的攻擊者通過/api/jolokia/接口來操作MBean接口，實現任意代碼執行，并最終控制目標服務器。

二、危害影響

成功利用漏洞的攻擊者，可在目標服務器上執行任意代碼，獲取服務器的控制權限。Apache ActiveMQ 5.16.6之前版本，5.17.4之前版本至5.17.0之后版本均受此漏洞影響。

三、修復建議

目前，Apache官方已發布新版本修復了該漏洞，建議用戶及時確認產品版本，盡快采取修補措施。官方參考鏈接：

https://activemq.apache.org/

本通報由CNNVD技術支撐單位——奇安信網神信息技術（北京）股份有限公司、北京奇虎科技有限公司、華為技術有限公司、北京天融信網絡安全技術有限公司、北京神州綠盟科技有限公司、新華三技術有限公司、上海斗象信息科技有限公司、北京山石網科信息技術有限公司、網宿科技股份有限公司、山東澤鹿安全技術有限公司、博智安全科技股份有限公司、內蒙古旌云科技有限公司、深圳昂楷科技有限公司、西安交大捷普網絡科技有限公司、湖北肆安科技有限公司、北京中睿天下信息技術有限公司、任子行網絡技術股份有限公司等技術支撐單位提供支持。

CNNVD將繼續跟蹤上述漏洞的相關情況，及時發布相關信息。如有需要，可與CNNVD聯系。

聯系方式：cnnvdvul@itsec.gov.cn