一、Apache ActiveMQ 远程代码执行风险
Apache ActiveMQ 是一款由 Apache 软件基金会开发的开源消息中间件,广泛应用于企业级消息队列、分布式系统与微服务架构中。
1. 风险内容
该漏洞源于 Web Console 默认暴露的/api/jolokia/JMX-HTTP桥接接口对输入参数校验不足,且默认 Jolokia 访问策略允许调用 org.apache.activemq:*相关 MBean 的 exec 操作。经过身份认证的攻击者可通过构造恶意 masterslave://发现 URI,触发 VM Transport 中的 brokerConfig 参数加载 Spring ResourceXmlApplicationContext,从而在 BrokerService 完成配置校验前实例化恶意 Bean 并执行 Runtime.exec()等方法,最终在 Broker JVM 中实现远程代码执行。攻击者成功利用后可进一步控制消息服务、窃取业务数据或横向渗透内部系统。
2. 影响范围
Apache ActiveMQ Broker < 5.19.7
6.0.0 <= Apache ActiveMQ Broker < 6.2.6
Apache ActiveMQ All < 5.19.7
6.0.0 <= Apache ActiveMQ All < 6.2.6
Apache ActiveMQ < 5.19.7
6.0.0 <= Apache ActiveMQ < 6.2.6
3. 修复建议
联系信息中心获取版本更新链接
二、Apache Fory PyFory 反序列化策略绕过风险
Apache Fory 是一款高性能跨语言序列化与反序列化框架,广泛应用于分布式计算、缓存、消息传输及数据处理等场景。
1. 风险内容
由于 PyFory 在 Python-native 模式下,ReduceSerializer 在 reduce-state 恢复及全局名称解析过程中未完整执行 DeserializationPolicy 校验逻辑,导致攻击者可构造恶意序列化数据绕过安全策略限制。当应用启用非严格模式并反序列化攻击者可控数据时,攻击者可能调用危险类、函数或模块属性,进而执行任意代码、获取敏感数据或控制应用进程。该漏洞可能导致业务系统遭受远程攻击,并带来数据泄露、业务中断及合规风险。
2. 影响范围
0.13.0 <= Apache Fory(pyfory) < 1.0.0
3. 修复建议
联系信息中心获取版本更新链接
三、Drupal Core PostgreSQL SQL 注入风险
Drupal Core 是 Drupal 开源 CMS 的核心基础程序,承载系统底层架构与基础内容管理能力,用于搭建各类官网、门户、资讯站点等网站。
1. 风险内容
经分析,漏洞根源在于 PostgreSQL 特定的实体查询条件类在处理数组值时的逻辑缺陷。translateCondition()方法遍历$condition['value']数组,并直接使用数组键(key)来构建 PDO 占位符名称。由于 JSON:API 允许匿名用户通过 URL 参数 filter[x][condition][value][MALICIOUS_KEY]=val 提供任意数组键,攻击者可以控制占位符名称的字符。
2. 影响范围
Drupal 8 系列:8.9.0 ≤ 版本 < 10.4.10
Drupal 10.5 系列:10.5.0 ≤ 版本 < 10.5.10
Drupal 10.6 系列:10.6.0 ≤ 版本 < 10.6.9
Drupal 11.0 系列:11.0.0 ≤ 版本 < 11.1.10
Drupal 11.2 系列:11.2.0 ≤ 版本 < 11.2.12
Drupal 11.3 系列:11.3.0 ≤ 版本 < 11.3.10
3. 修复建议
联系信息中心获取版本更新链接
