UZCERT

Некоторые компоненты Apache RocketMQ, включая NameServer, Broker и Controller, доступны из экстрасети и не имеют проверки разрешений.



Злоумышленник может воспользоваться этой уязвимостью, используя функцию обновления конфигурации для выполнения пользователя системы от имени которого работает RocketMQ, или добиться того же эффекта, подделав содержимое протокола RocketMQ. Специалисты департамента UZCERT рекомендуют применить меры по снижению риска в соответствии с инструкциями поставщика или прекратить использование продукта, если меры по снижению риска недоступны.

Подробнее можно почитать здесь - https://bit.ly/3Lf6sAA.