漏洞描述

Apache ActiveMQ Artemis 是开源的高性能、可扩展的消息代理。Jolokia 是一个用于访问和管理 Java 应用程序的远程 JMX 代理，默认集成在8161端口的ActiveMQ web console中，Log4J2 MBeans用于管理和监控日志记录。

受影响版本中，经过 Jolokia 端点身份验证的攻击者可访问 Log4J2 MBean 在服务器写入任意文件，进而远程执行任意代码。补丁版本通过默认禁用 Log4j2 MBean 修复此漏洞。

影响范围

org.apache.activemq:artemis-cli@(-∞, 2.29.0)

activemq_artemis@(-∞, 2.29.0)

org.apache.activemq/artemis-cli@影响所有版本

org.apache.activemq/artemis-cli@影响所有版本

org.apache.activemq/artemis-cli@影响所有版本

org.apache.activemq/artemis-cli@影响所有版本

org.apache.activemq/artemis-cli@影响所有版本

org.apache.activemq/artemis-cli@影响所有版本

org.apache.activemq/artemis-cli@影响所有版本

org.apache.activemq/artemis-cli@影响所有版本

修复方案

将组件 org.apache.activemq:artemis-cli 升级至 2.29.0 及以上版本

将组件 activemq_artemis 升级至 2.29.0 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-fhrj-dsc6

https://lists.apache.org/thread/63b78shqz312phsx7v1ryr7jv7bprg58

https://github.com/apache/activemq-artemis/commit/b17ea490bff397349ac9b1188d1b047e11562d74

https://nvd.nist.gov/vuln/detail/CVE-2023-50780

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc