Apache RocketMQ: Possible remote code execution vulnerability when using the update configuration function

O Apache RocketMQ versões 5.1.0 e anteriores permite que atacantes executem comandos arbitrários nos servidores que executam o software. Se os componentes do RocketMQ estiverem expostos na internet sem controles de acesso adequados, um atacante pode usar a função de atualização de configuração para executar comandos maliciosos com os privilégios do usuário do sistema RocketMQ.

O CVE-2023-33246 explora a falta de autenticação nos componentes NameServer, Broker e Controller do RocketMQ expostos em redes não confiáveis. Um atacante pode enviar mensagens forjadas do protocolo RocketMQ ou abusar da função de atualização de configuração (CWE-94: Controle Inadequado de Geração de Código) para alcançar execução remota de código com os privilégios do processo RocketMQ. Versões afetadas: RocketMQ 5.1.0 e anteriores (4.x até 4.9.5).