漏洞总结 漏洞概述 Apache ActiveMQ 存在类路径名称验证和限制不当的漏洞(Improper validation and restriction of a classpath path name vulnerability)。在创建 Stomp 消费者以及在 Web 控制台中浏览消息时,经过身份验证的用户若提供特定的 "key" 值,可能导致类路径资源加载漏洞,进而引发远程代码执行(RCE)。 影响范围 受影响的组件及版本如下(低于指定版本): Apache ActiveMQ Client ( ): 5.19.3 之前, 6.0.0 至 6.2.2 之前 Apache ActiveMQ Broker ( ): 5.19.3 之前, 6.0.0 至 6.2.2 之前 Apache ActiveMQ All ( ): 5.19.3 之前, 6.0.0 至 6.2.2 之前 Apache ActiveMQ Web ( ): 5.19.3 之前, 6.0.0 至 6.2.2 之前 修复方案 建议用户升级至 5.19.4 或 6.2.3 版本以修复此问题。 注意:版本 5.19.3 和 6.2.2 也能修复此问题,但仅限于非 Windows 环境(因 Windows 环境下的路径分隔符解析 bug 在 5.19.4 和 6.2.3 中才修复)。 POC/利用代码 截图中未包含具体的 POC 代码块。