中创消息中间件(简称inforsuite mq)是山东中创软件商用中间件股份有限公司的一款消息中间件产品,为应用系统间提供稳定、高效的消息传输服务。
近期,中创消息中间件v9.1版本存在的安全漏洞问题,目前厂商已发布临时凯时k66会员登录的解决方案,建议受影响的用户及时采用临时修复方案进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
(一) infors-mq22-0001 存在mbean暴露,其中参数攻击者可控,攻击者可任意写文件,从而导致可以通过构造filename变量实现目录穿越,上传文件到api目录。
(二) infors-mq22-0002 用户可通过.js或.css后缀绕过全局的权限判断,获取产品或系统信息。
(三) infors-mq22-0003 攻击者通过未授权访问/api/jojokia/list可查看接口信息,发现可通过rewritefile上传任意文件,植入木马文件,最终获取服务器权限。
(四) infors-mq22-0004 攻击者可利用mq默认用户名密码登录mq管理控制台进行相应操作。
(五) infors-mq22-0005 攻击者在sql操作时可直接将可控参数拼接到sql当中,导致存在sql注入。
(六) cnvd-c-2022-627959 中创消息中间件存在命令执行漏洞。攻击者在拥有管理员权限的情况下(该限制可通过增加.js或.css后缀绕过),可执行任意命令。攻击者可以构造恶意服务器,在该中间件解析xml时返回恶意端口,导致最终的jmx请求指向攻击者的恶意服务器,造成jmx反序列化并且命令执行。
(七) cnvd-c-2022-628022 中创消息中间件存在ssrf漏洞。攻击者在拥有管理员权限的情况下(该限制可通过增加.js或.css后缀绕过),可读取任意文件。 原因是参数被传入方法时被直接拼入url中,没有对用户请求资源目标地址进行严格过滤,最终造成服务端请求伪造。
(八) cnvd-c-2022-628166 中创消息中间件存在任意文件读取漏洞。攻击者在拥有管理员权限的情况下(该限制可通过增加.js或.css后缀绕过),可读取任意文件。 原因是下载文件时,文件名被直接拼接进路径中,会造成目录穿越,造成任意文件读取。
升级包md5码:
mqv9.1 d7283955ed48907c992cf778f93aeac1