Se ha reportado de una vulnerabilidad (CVE-2023-46604) en el protocolo Java OpenWire que podría permitir a un actor malicioso remoto ejecutar código de forma arbitraria (RCE) en los sistemas afectados.
Productos o Items Afectados
La vulnerabilidad afecta a los brokers y clientes basados en Java que utilizan el protocolo OpenWire en versiones anteriores a 5.15.16, 5.16.7, 5.17.6, o 5.18.3.
Impacto de la Vulnerabilidad
Se ha asignado el identificador CVE-2023-46604 para esta vulnerabilidad con una puntuación de 9.8 en CVSSv3 con una severidad crítica, un actor malicioso posicionado de forma remota podría enviar instrucciones especialmente diseñadas el sistema afectado para ejecutar comandos arbitrarios (RCE), lo cual podría permitirle el control total del sistema.
Recomendación
Se recomienda a los administradores de sistemas actualizar tanto los brokers como los clientes a las últimas versiones del software disponible, las cuales contienen la corrección para esta vulnerabilidad.
Enlaces de Referencia
- https://packetstormsecurity.com/files/175676/Apache-ActiveMQ-Unauthenticated-Remote-Code-Execution.html
- https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt
- http://seclists.org/fulldisclosure/2024/Apr/18