Vulnerabilidad en RocketMQ (CVE-2024-23321)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

22/07/2024

Última modificación:

13/02/2025

Descripción

Para las versiones 5.2.0 y anteriores de RocketMQ, bajo ciertas condiciones, existe el riesgo de exposición de información confidencial a un actor no autorizado incluso si RocketMQ está habilitado con funciones de autenticación y autorización. Un atacante que posea privilegios de usuario habituales o que esté incluido en la lista blanca de IP podría adquirir la cuenta y la contraseña del administrador a través de interfaces específicas. Tal acción les otorgaría control total sobre RocketMQ, siempre que tengan acceso a la lista de direcciones IP del corredor. Para mitigar estas amenazas a la seguridad, se recomienda encarecidamente que los usuarios actualicen a la versión 5.3.0 o posterior. Además, recomendamos a los usuarios que utilicen RocketMQ ACL 2.0 en lugar de la RocketMQ ACL original al actualizar a la versión Apache RocketMQ 5.3.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto