各二级单位：

       根据上级单位预警通知，Apache软件基金会研发的开源消息中间件Active MQ存在XML外部实体注入漏洞。经分析研判，由于Active MQ安装启动后默认开放61613、61614、61616端口，攻击者可通过构造恶意数据包加载外部XML文件的方式，实现远程代码执行，存在重大风险隐患。

       已知受影响版本为5.18.2及之前所有版本。

       目前官方尚没有发布补丁，请各单位梳理相关产品使用情况，在确保安全的前提下，受影响单位应采取临时禁用TopTransport函数，关闭默认端口，严格访问控制措施。同时，密切关注Apache官方相关漏洞补丁，及时升级更新，消除安全隐患。如发现遭攻击情况，及时处置并向信息网络工程研究中心（87110228）报告。

信息网络工程研究中心（信息化办公室）

2023年10月24日