2023年11月，Apache ActiveMQ 官方发布公告，披露 CVE-2022-41678 Apache ActiveMQ jolokia 代码执行漏洞

01 漏洞描述

Apache ActiveMQ 是一个开源消息代理软件，是Apache软件基金会的顶级项目之一。它主要用于在分布式系统中传递消息，提供了完整的JMS规范实现。

2023年11月，Apache ActiveMQ 官方发布公告，披露 CVE-2022-41678 Apache ActiveMQ jolokia 代码执行漏洞。

攻击者在通过ActiveMQ Web控制台认证后，可构造请求写入webshell，执行任意代码，控制服务器。

官方已发布安全更新以及缓解措施，建议相关用户尽快采取措施。

02 漏洞评级

CVE-2022-41678 Apache ActiveMQ jolokia 代码执行漏洞 高危

03 安全版本

Apache ActiveMQ 5.16.6

Apache ActiveMQ 5.17.4

Apache ActiveMQ 5.18.0

Apache ActiveMQ 6.0.0

04 安全建议

1、升级至安全版本及其以上，修改默认口令

2、利用安全组设置 Apache ActiveMQ web控制台仅对可信地址开放