CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2023-46604

CVSS 10.0v3.1pub. 2023-10-27upd. 2025-11-04

The Java OpenWire protocol marshaller is vulnerable to Remote Code Execution. This vulnerability may allow a remote attacker with network access to either a Java-based OpenWire broker or client to run arbitrary shell commands by manipulating serialized class types in the OpenWire protocol to cause either the client or the broker (respectively) to instantiate any class on the classpath. Users are recommended to upgrade both brokers and clients to version 5.15.16, 5.16.7, 5.17.6, or 5.18.3 which fixes this issue.

oryginał EN
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H
  • Apache Activemq

    APP
    Apache
    < 5.15.165.16.0 – 5.16.7 (bez)5.17.0 – 5.17.6 (bez)5.18.0 – 5.18.3 (bez)
  • Apache Activemq Legacy Openwire Module

    APP
    Apache
    < 5.15.165.16.0 – 5.16.7 (bez)5.17.0 – 5.17.6 (bez)5.18.0 – 5.18.3 (bez)
  • Debian

    OS
    Debian
    10.011.0
  • Netapp E Series Santricity Unified Manager

    APP
    Netapp
    wszystkie wersje
  • Netapp E Series Santricity Web Services Proxy

    APP
    Netapp
    wszystkie wersje
  • Netapp Santricity Storage Plugin

    APP
    Netapp
    wszystkie wersje

CISA KEV — szczegółyi

Dostawcai
Apache
Produkti
ActiveMQ
Data dodania do KEVi
2 listopada 2023
Termin remediation (USA)i
23 listopada 2023(po terminie)
Ransomwarei
Aktywne kampanie ransomware używają tej podatności
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań korzystania z produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Apache ActiveMQ zawiera lukę związaną z deserializacją niezaufanych danych, która może pozwolić zdalnemu atakującemu mającemu dostęp do sieci do brokera na wykonanie poleceń powłoki poprzez manipulowanie serializowanymi typami klas w protokole OpenWire, aby spowodować, że broker zainicjuje dowolną klasę ze ścieżki klas.

tłumaczenie AI
Pokaż oryginał (EN)

Apache ActiveMQ contains a deserialization of untrusted data vulnerability that may allow a remote attacker with network access to a broker to run shell commands by manipulating serialized class types in the OpenWire protocol to cause the broker to instantiate any class on the classpath.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
☠️WYKORZYSTYWANE W RANSOMWARECISA DEADLINE: 23 listopada 2023
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2026-24061CRITICAL9.8⚠ KEVPL ✓ten sam produkt

GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER

CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)

CVE-2025-49113CRITICAL9.9⚠ KEVPL ✓ten sam produkt

RCE przez deserializację PHP w Roundcube Webmail (parametr _from)

CVE-2025-32433CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki