[TLP:CLEAR] Apache ActiveMQ opravuje 2 zranitelnosti
Apache Software Foundation verzemi 5.19.7 a 6.2.6 opravuje 2 zranitelnosti v produktech Apache ActiveMQ (Classic, All, Broker) [1][2].
Autentizovanému vzdálenému útočníkovi s nízkými oprávněními je kvůli nesprávnému výchozímu nastavení oprávnění v autorizaci Jolokia umožněno provádět administrační operace správy brokeru, jako je addQueue a removeQueue [1].
Zranitelnost se nachází v produktu Apache ActiveMQ ve verzích (<5.19.7) OR (>=6.0.0 AND <6.2.6).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-49157 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-276: Incorrect Default Permissions at cwe.mitre.org
Zranitelnost byla veřejně oznámena 31. 5. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli chybějícímu ověření autentizace při zpracování příkazu BrokerInfo umožněno získat seznam trvalých (durable) odběrů témat, včetně identifikátorů klientů, názvů odběrů, cílových témat a JMS selektorů [2].
Zranitelnost se nachází v produktech:
- Apache ActiveMQ ve verzích (>=5.14.0 AND <5.19.7) OR (>=6.0.0 AND <6.2.6)
- Apache ActiveMQ All ve verzích (>=5.14.0 AND <5.19.7) OR (>=6.0.0 AND <6.2.6)
- Apache ActiveMQ Broker ve verzích (>=5.14.0 AND <5.19.7) OR (>=6.0.0 AND <6.2.6)
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2026-49270 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1230: Exposure of Sensitive Information Through Metadata at cwe.mitre.org
Zranitelnost byla veřejně oznámena 31. 5. 2026.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 2. 6. 2026.
