漏洞描述:

RocketMQ 5.1.0及以下版本，在一定条件下，存在远程命令执行风险。RocketMQ的NameServer、Broker、Controller等多个组件外网泄露，缺乏权限验证，攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。  此外，攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。

利用条件:低权限用户

漏洞利用可能性:待研判

影响版本：
Apache RocketMQ <= 5.1.0

修复方法：
为防止此类攻击，建议用户升级至以下不受影响的版本：
RocketMQ 5.* >= 5.1.1
RocketMQ 4.* >= 4.9.6

官方补丁下载地址：
https://rocketmq.apache.org/
缓解方案:
除了升级之外，组织还应遵循安全最佳实践来加强其 RocketMQ 部署。这包括定期修补和更新 RocketMQ 组件、应用安全配置以及进行定期安全审计以主动识别和解决潜在漏洞。