漏洞简介
Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务,集群,Spring Framework等。Apache ActiveMQ 5.13.0之前5.x版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类。远程***者可借助特制的序列化的Java消息服务(JMS)ObjectMessage对象利用该漏洞执行任意代码。
漏洞版本
Apache ActiveMQ 5.13.0之前5.x版本
复现
环境
目标环境能够看到0.0.0.0:8161-->8161/tcp 和 0.0.0.0:61616-->61616
其中的8161端口就是管理页面的端口,而61616则是发送消息的工作端口。
下载漏洞利用工具: