漏洞名称：Apache ActiveMQ upload/download功能目录遍历漏洞

当前位置：首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

发表日期：2015-08-21 09:52:33

漏洞名称：Apache ActiveMQ upload/download功能目录遍历漏洞(CVE-2015-1830)

CVE ID:CVE-2015-1830

受影响系统：

Apache Group ActiveMQ < 5.11.2

详细信息：

Apache ActiveMQ是流行的消息传输和集成模式提供程序。

Apache ActiveMQ for Windows 5.11.2之前版本，fileserver中用于blob消息的upload/download功能存在目录遍历漏洞，可使攻击者利用此漏洞在任意目录中创建JSP文件，执行shell命令。此漏洞仅影响Windows OS系统。

漏洞来源：

IIX Product Security

解决方案：

厂商补丁：

Apache Group

------------

Apache Group已经为此发布了一个安全公告（CVE-2015-1830）以及相应补丁:

CVE-2015-1830：Path traversal leading to unauthenticated RCE in ActiveMQ

链接：http://activemq.apache.org/security-advisories.data/CVE-2015-1830-announcement.txt

■服务概述