中创消息中间件（简称InforSuite MQ）是山东中创软件商用中间件股份有限公司的一款消息中间件产品，为应用系统间提供稳定、高效的消息传输服务。

近期，中创消息中间件V9.1版本存在的安全漏洞问题，目前厂商已发布临时解决方案，建议受影响的用户及时采用临时修复方案进行防护，做好资产自查以及预防工作，以免遭受黑客攻击。

(一) INFORS-MQ22-0001 存在mbean暴露，其中参数攻击者可控，攻击者可任意写文件，从而导致可以通过构造fileName变量实现目录穿越，上传文件到api目录。

(二) INFORS-MQ22-0002 用户可通过.js或.css后缀绕过全局的权限判断，获取产品或系统信息。                                 

(三) INFORS-MQ22-0003 攻击者通过未授权访问/api/jojokia/list可查看接口信息，发现可通过reWriteFile上传任意文件，植入木马文件，最终获取服务器权限。

(四) INFORS-MQ22-0004 攻击者可利用MQ默认用户名密码登录MQ管理控制台进行相应操作。                                 

(五) INFORS-MQ22-0005 攻击者在SQL操作时可直接将可控参数拼接到SQL当中，导致存在SQL注入。                       

(六) CNVD-C-2022-627959 中创消息中间件存在命令执行漏洞。攻击者在拥有管理员权限的情况下（该限制可通过增加.js或.css后缀绕过），可执行任意命令。攻击者可以构造恶意服务器，在该中间件解析xml时返回恶意端口，导致最终的jmx请求指向攻击者的恶意服务器，造成jmx反序列化并且命令执行。

(七) CNVD-C-2022-628022 中创消息中间件存在SSRF漏洞。攻击者在拥有管理员权限的情况下（该限制可通过增加.js或.css后缀绕过），可读取任意文件。 原因是参数被传入方法时被直接拼入url中，没有对用户请求资源目标地址进行严格过滤，最终造成服务端请求伪造。

(八) CNVD-C-2022-628166 中创消息中间件存在任意文件读取漏洞。攻击者在拥有管理员权限的情况下（该限制可通过增加.js或.css后缀绕过），可读取任意文件。 原因是下载文件时,文件名被直接拼接进路径中，会造成目录穿越，造成任意文件读取。

(九)INFORS-MQ25-0001 中创消息中间件中存在XML注入漏洞，远程攻击者可通过构造xml影响远程服务器的配置文件，从而影响产品安全性。

(十)INFORS-MQ25-0002 中创消息中间件中存在远程代码执行漏洞，具有软件服务器TCP端口访问权限的远程攻击者可通过伪造恶意协议数据触发漏洞。

补丁获取：

请联系中创工作人员，获取相应版本的漏洞补丁包，在工作人员指导下进行漏洞补丁修复。