Apache RocketMQ 命令注入漏洞（含批量验证poc）

简介

Apache RocketMQ是一个开源的分布式消息传递系统，它最初是由阿里巴巴集团开发的。RocketMQ具有高可靠性、高吞吐量、低延迟等特点，被广泛应用于各种分布式应用场景，如电商、金融、物流等。RocketMQ支持多种消息传递模式，如点对点、发布/订阅、请求/响应等，同时还提供了多种消息过滤和顺序传递功能。RocketMQ采用了分布式架构，支持水平扩展，可以轻松应对高并发的消息传递需求。
该漏洞存在于Apache RocketMQ中，是一个远程命令执行漏洞。RocketMQ的NameServer、Broker、Controller等多个组件缺乏权限验证，攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。此外，攻击者可以通过伪造 RocketMQ 协议内容来达到同样的效果。

影响版本

复现过程

Hunter:

app.name="RabbitMQ"