Một lỗ hổng thực thi mã mức độ nghiêm trọng trung bình được phát hiện trong Apache RocketMQ –  một hệ thống phân tán truyền tin mã nguồn mở phổ biến. 

Lỗ hổng được theo dõi là CVE-2023-33246 ảnh hưởng đến các phiên bản RocketMQ trước 5.1.0.  

Lỗ hổng này nằm trong một số thành phần của RocketMQ và cho phép tin tặc sử dụng chức năng cập nhật cấu hình để thực thi các lệnh như một người dùng hệ thống chạy RocketMQ hoặc giả mạo nội dung giao thức RocketMQ. Các thành phần bị ảnh hưởng bao gồm NameServer, Broker, Controller không có xác thực quyền hợp lý và vô tình bị tiết lộ trên mạng ngoài. 

Khai thác thành công lỗ hổng cho phép tin tặc thực thi các lệnh tùy ý để truy cập trái phép dữ liệu nhạy cảm, gây gián đoạn hoạt động truyền tin, hoặc cài đặt phần mềm độc hại trong cơ sở hạ tầng. 

Những người sử dụng RocketMQ nên nâng cấp lên phiên bản 5.1.1 để đảm bảo an toàn. 

Nguồn: Security Online