蓝狮官网

    山东蓝狮官网软件商用中间件股份有限公司

    蓝狮官网消息中间件产品安全漏洞披露

    蓝狮官网消息中间件(简称InforSuite MQ)是山东蓝狮官网软件商用中间件股份有限公司的一款消息中间件产品,为应用系统间提供稳定、高效的消息传输服务。

    近期,蓝狮官网消息中间件V9.1版本存在的安全漏洞问题,目前厂商已发布临时解决方案,建议受影响的用户及时采用临时修复方案进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

    (一) INFORS-MQ22-0001 存在mbean暴露,其中参数攻击者可控,攻击者可任意写文件,从而导致可以通过构造fileName变量实现目录穿越,上传文件到api目录。

    (二) INFORS-MQ22-0002 用户可通过.js或.css后缀绕过全局的权限判断,获取产品或系统信息。                                 

    (三) INFORS-MQ22-0003 攻击者通过未授权访问/api/jojokia/list可查看接口信息,发现可通过reWriteFile上传任意文件,植入木马文件,最终获取服务器权限。

    (四) INFORS-MQ22-0004 攻击者可利用MQ默认用户名密码登录MQ管理控制台进行相应操作。                                 

    (五) INFORS-MQ22-0005 攻击者在SQL操作时可直接将可控参数拼接到SQL当中,导致存在SQL注入。                       

    (六) CNVD-C-2022-627959 蓝狮官网消息中间件存在命令执行漏洞。攻击者在拥有管理员权限的情况下(该限制可通过增加.js或.css后缀绕过),可执行任意命令。攻击者可以构造恶意服务器,在该中间件解析xml时返回恶意端口,导致最终的jmx请求指向攻击者的恶意服务器,造成jmx反序列化并且命令执行。

    (七) CNVD-C-2022-628022 蓝狮官网消息中间件存在SSRF漏洞。攻击者在拥有管理员权限的情况下(该限制可通过增加.js或.css后缀绕过),可读取任意文件。 原因是参数被传入方法时被直接拼入url中,没有对用户请求资源目标地址进行严格过滤,最终造成服务端请求伪造。

    (八) CNVD-C-2022-628166 蓝狮官网消息中间件存在任意文件读取漏洞。攻击者在拥有管理员权限的情况下(该限制可通过增加.js或.css后缀绕过),可读取任意文件。 原因是下载文件时,文件名被直接拼接进路径中,会造成目录穿越,造成任意文件读取。


    升级包下载地址


    升级包MD5码:

    MQV9.1  d7283955ed48907c992cf778f93aeac1

    山东省济南市历下区千佛山东路41-1号

    400-618-6180

    m.51qyee.com

    Powered By InforSuite

    版权所有 © 山东蓝狮官网软件商用中间件股份有限公司2002-2025

    网站备案许可证号:

    鲁公网安备 37010202002930号      

    网站备案号:

    鲁ICP备11001434号-5