1.漏洞概述

2024 年 7 月 23 日，安全运营中心监测到 Apache RocketMQ 敏感信息泄露漏洞，漏洞编号：CVE-2024-23321，漏洞威胁等级：高危。

2.漏洞详情

Apache RocketMQ 是一款开源的开源系统。草案版本中存在敏感信息泄露漏洞，未授权的用户可以在启用身份验证和授权功能的情况下获得敏感信息。拥有普通用户权限的攻击者可以通过特定窃取接口管理员账号和密码从而获得 RocketMQ 权限。修复版本中，通过增加权限检查和验证，细化访问配置以修复漏洞。强烈建议将 RocketMQ ACL 升级为 2.0。

3.影响版本

4.5.2<=rocketmq<5.3.0

4.处置建议

1. 将组件 rocketmq 升级至 5.3.0 及以上版本。

https://github.com/apache/rocketmq/issues/7560

预警通告来源：赛尔网络安全运营中心

联系人：梁宇

邮箱：liangyu@cernet.com

电话：15848147651