近来，国家信息安全缝隙库（CNNVD）收到关于Apache ActiveMQ代码问题缝隙（CNNVD-202311-2165、CVE-2022-41678）状况的报送。成功使用缝隙的攻击者，可在方针服务器上履行恣意代码，获取服务器的操控权限。Apache ActiveMQ 5.16.6之前版别，5.17.4之前版别至5.17.0之后版别均受此缝隙影响。现在，Apache官方已发布新版别修正了该缝隙，主张用户及时承认产品版别，赶快采纳修补办法。

  Apache ActiveMQ是美国阿帕奇（Apache）基金会的一套开源的音讯中间件，它支撑Java音讯服务、集群、Spring Framework等。Apache ActiveMQ存在代码问题缝隙，该缝隙答应经过身份验证的攻击者经过/api/jolokia/接口来操作MBean接口，完成恣意代码履行，并终究操控方针服务器。

  成功使用缝隙的攻击者，可在方针服务器上履行恣意代码，获取服务器的操控权限。Apache ActiveMQ 5.16.6之前版别，5.17.4之前版别至5.17.0之后版别均受此缝隙影响。

  现在，Apache官方已发布新版别修正了该缝隙，主张用户及时承认产品版别，赶快采纳修补办法。官方参阅链接：

  本通报由CNNVD技能支撑单位——奇安信网神信息技能（北京）股份有限公司、北京奇虎科技有限公司、华为技能有限公司、北京天融信网络安全技能有限公司、北京神州绿盟科技有限公司、新华三技能有限公司、上海斗象信息科技有限公司、北京山石网科信息技能有限公司、网宿科技股份有限公司、山东泽鹿安全技能有限公司、博智安全科技股份有限公司、内蒙古旌云科技有限公司、深圳昂楷科技有限公司、西安交大捷普网络科技有限公司、湖北肆安科技有限公司、北京中睿全国信息技能有限公司、任子行网络技能股份有限公司等技能支撑单位供给支撑。

  CNNVD将持续盯梢上述缝隙的相关状况，及时发布有关信息。如有需求，可与CNNVD联络。联络方式: