Apache James JMX本地反序列化漏洞(CVE-2023-26269)

news/2024/12/23 4:28:46/

漏洞描述

Apache James 是一个基于Java语言开发的邮件服务器软件。

该项目受影响版本存在权限提升漏洞,由于Apache James 3.7.3及之前版本默认提供无需身份验证的 JMX 管理服务且使用LOG4J MBeans接口等导致存在反序列化漏洞。具备本地用户权限的攻击者可通过Log4j MBeans接口或CommonsBeanutils1链触发反序列化造成任意命令执行,由于JMX 管理服务仅在本地主机开放,漏洞在大部分场景中只能用于本地权限提升。

漏洞名称Apache James JMX本地反序列化漏洞
漏洞类型缺省权限不正确
发现时间2023/3/31
漏洞影响广度一般
MPS编号MPS-2023-5287
CVE编号CVE-2023-26269
CNVD编号-

影响范围

org.apache.james:james-server-guice-jmx@(-∞, 3.7.4)

修复方案

将组件 org.apache.james:james-server-guice-jmx 升级至 3.7.4 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-2023-5287

https://www.mail-archive.com/announce@apache.org/msg08067.html

https://github.com/apache/james-project/compare/james-project-3.7.3…james-project-3.7.4

https://github.com/apache/james-project/blob/master/CHANGELOG.md#374—2023-03-20

关于墨菲安全

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。
开源项目:https://github.com/murphysecurity/murphysec/?sf=qbyj

产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
免费代码安全检测工具: https://www.murphysec.com/?sf=qbyj
免费情报订阅: https://www.oscs1024.com/cm/?sf=qbyj

在这里插入图片描述


http://www.ppmy.cn/news/37731.html

相关文章

语句【C++】

简单语句空语句复合语句条件语句if 语句switch 语句迭代语句while语句传统 for 语句范围 for 语句&#xff08;C11&#xff09;do while 语句跳转语句break 语句continue 语句goto 语句简单语句 大多数语句以分号结束。 ival 5; //没有实际用处的表达式 cout<<ival; …

赋能工业智能化升级 | 基于ACM32 MCU的工业通用变频器方案

近年来&#xff0c;随着智能制造对节能的更高要求&#xff0c;通用变频器在工业领域的应用愈加广泛。变频器是一种先进的调速控制设备&#xff0c;通过对电源频率的控制可以实现对电机转速的精确调节&#xff0c;从而提高设备的性能和节能效果。 变频器概述 变频器&#xff0…

上海亚商投顾:创业板指高开高走 ChatGPT概念卷土重来

上海亚商投顾前言&#xff1a;无惧大盘涨跌&#xff0c;解密龙虎榜资金&#xff0c;跟踪一线游资和机构资金动向&#xff0c;识别短期热点和强势个股。 市场情绪沪指今日红盘震荡&#xff0c;深成指、创业板指小幅走高&#xff0c;科创50指数涨近1.5%。ChatGPT概念股再度爆发&a…

【devops】非必要 不要自建harbor 能力不足 真的被坑的服了 阿里云ACR不香吗?k8s接入ACR

一、自建harbor的N种不好 1、80和443 首先你需要让出来这2个端口,然后如果你要https的话,你还要考虑443怎么配置上不同证书(目前我是不清楚这里可不可以) 而且能让这里生效的方式,还需要再2处进行修改(自行查找) 2、docker login各种问题 我在阿里云一次买了5台服务…

prometheus数据远程写入elasticsearch

文章目录prometheus数据远程写入elasticsearch一、部署elasticsearch二、部署prometheus三、通过prometheusbeat写入数据到es四、elasticsearch head验证prometheus数据远程写入elasticsearch 一、部署elasticsearch version: 3# 网桥es -> 方便相互通讯 networks:es:driv…

C++运算符

C运算符 运算符是一种告诉编译器执行特定的数学或逻辑操作的符号。C 内置了丰富的运算符&#xff0c;并提供了以下类型的运算符&#xff1a; 算术运算符关系运算符逻辑运算符位运算符赋值运算符杂项运算符 1. 算术运算符 运算符描述实例把两个操作数相加A B 将得到 30-从第…

Java并发编程实战二

线程间的通讯方式 1.volitate(缓存一致性协议),synchronize,lock(都保证可见性) 2.wait.notify,await(),signal(前两个是Object&#xff0c;后两个属于lock) 3.管道输入、输出流 (示例代码&#xff1a;PipeInOut.java)&#xff08;目前几乎没人使用&#xff09; 管道输入/输…

【从零开始学习 UVM】2.5、UVM 基础功能 —— UVM Object Copy/Clone

uvm_object有许多常见的函数,如print、copy和compare,这些函数对所有子类都可用,并且如果在类定义中使用UVM自动化宏,则可以直接使用。在之前的文章中,我们讨论了copy、do_copy以及使用自动化宏进行打印的方法。本篇文章将继续讨论UVM Object函数的使用,本文将介绍的是其…