CVE-2023-46604 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Apache ActiveMQ OpenWire 协议存在**不安全反序列化**漏洞。 💥 **后果**:攻击者可远程执行**任意 Shell 命令**,直接接管服务器。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-502**:反序列化不安全。 📍 **缺陷点**:未对 OpenWire 协议中的**序列化类类型**进行严格校验,允许恶意构造类加载。
Q3影响谁?(版本/组件)
📦 **组件**:Apache ActiveMQ。 📉 **版本**: - 5.15.16 之前 - 5.16.7 之前 - 5.17.6 之前 - 5.18.3 之前
Q4黑客能干啥?(权限/数据)
👑 **权限**:获得服务器**最高权限**(System/Admin)。 📂 **数据**:可读取、修改、删除任意文件,甚至横向移动内网。
Q5利用门槛高吗?(认证/配置)
📶 **门槛低**: - **无需认证**(Unauthenticated) - **无需交互**(UI:N) - **远程网络访问**即可触发。
Q6有现成Exp吗?(PoC/在野利用)
🛠️ **Exp 丰富**:GitHub 上已有多个成熟工具(Go/Python)。 🌍 **在野**:已有 Rapid7 等机构分析报告,利用难度极低。
Q7怎么自查?(特征/扫描)
🔎 **自查**: 1. 检查 ActiveMQ 版本是否在上述列表。 2. 扫描 OpenWire 端口(默认 61616)。 3. 使用提供的 PoC XML 文件进行验证测试。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:已发布安全公告。 ✅ **方案**:升级至 **5.18.3** 或更高安全版本。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**: - 限制 OpenWire 端口访问(仅信任 IP)。 - 启用**白名单**机制过滤序列化类。 - 暂时关闭 OpenWire 协议(如非必要)。
Q10急不急?(优先级建议)
🔥 **优先级:极高**。 CVSS 评分高,**远程无认证 RCE**,极易被自动化扫描利用,建议**立即修复**!