Apache RocketMQ: Possible remote code execution vulnerability when using the update configuration function

Apache RocketMQ versiones 5.1.0 e inferiores permite que atacantes ejecuten comandos arbitrarios en servidores que ejecutan el software. Si los componentes de RocketMQ se exponen a Internet sin controles de acceso adecuados, un atacante puede usar la función de actualización de configuración para ejecutar comandos maliciosos con los privilegios del usuario del sistema RocketMQ.

CVE-2023-33246 explota la falta de autenticación en los componentes NameServer, Broker y Controller de RocketMQ expuestos en redes no confiables. Un atacante puede enviar mensajes falsificados del protocolo RocketMQ o abusar de la función de actualización de configuración (CWE-94: Control Inadecuado de Generación de Código) para lograr ejecución remota de código con los privilegios del proceso RocketMQ. Versiones afectadas: RocketMQ 5.1.0 e inferiores (4.x hasta 4.9.5).