RocketMQ 是一个分布式消息和流数据平台，具有低延迟、高性能、高可靠性、万亿级容量和灵活的可扩展性。

漏洞详情
近日，RocketMQ 发布新版本修复了一个远程命令执行漏洞（CVE-2023-33246），该漏洞源于 RocketMQ 的 NameServer、Broker、Controller等多个组件缺乏权限验证，攻击者可以利用该漏洞利用更新配置功能以RocketMQ 运行的系统用户身份执行命令。此外，攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。

影响范围
Apache RocketMQ <= 5.1.0
Apache RocketMQ <= 4.9.5

修复建议
目前官方已发布安全修复更新，受影响用户可以升级到Apache RocketMQ 5.1.1或者4.9.6。
下载链接：https://rocketmq.apache.org/download/

产品支持
云安服-安全监测平台：默认支持该产品的指纹识别，已更新漏洞检测规则，已支持该漏洞的在线检测。

参考链接
https://www.cve.org/CVERecord?id=CVE-2023-33246