Informazioni sul CVE-2023-46604
Apache ActiveMQ, Apache ActiveMQ Legacy OpenWire Module: Unbounded deserialization causes ActiveMQ to be vulnerable to a remote code execution (RCE) attack
CWE ID: CWE-502
Base Score (CVSS): N/A
CVE: CVE-2023-46604
Descrizione: The Java OpenWire protocol marshaller is vulnerable to Remote Code Execution. This vulnerability may allow a remote attacker with network access to either a Java-based OpenWire broker or client to run arbitrary shell commands by manipulating serialized class types in the OpenWire protocol to cause either the client or the broker (respectively) to instantiate any class on the classpath. Users are recommended to upgrade both brokers and clients to version 5.15.16, 5.16.7, 5.17.6, or 5.18.3 which fixes this issue.
Vettore di attacco CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: Low, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | C | Changed | La vulnerabilità impatta su componenti esterni. |
| Confidentiality Impact (C) | L | Low | Impatto limitato. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://activemq.apache.org/security-advisories.data/CVE-2023-46604-announcement.txt
- https://www.openwall.com/lists/oss-security/2023/10/27/5
- https://security.netapp.com/advisory/ntap-20231110-0010/
- https://packetstormsecurity.com/files/175676/Apache-ActiveMQ-Unauthenticated-Remote-Code-Execution.html
- https://lists.debian.org/debian-lts-announce/2023/11/msg00013.html
- http://seclists.org/fulldisclosure/2024/Apr/18
Prodotti interessati
- Apache Software Foundation – Apache ActiveMQ
- Apache Software Foundation – Apache ActiveMQ Legacy OpenWire Module
Relazioni con altri prodotti
Produttore:Apache Software Foundation
Prodotto: Apache ActiveMQ
Anno: 2023
CWE: CWE-502
CVSS: 0.0
Produttore:Apache Software Foundation
Prodotto: Apache ActiveMQ Legacy OpenWire Module
Anno: 2023
CWE: CWE-502
CVSS: 0.0