CVE-2026-42588 in ActiveMQ
Resumen
por VulDB • 2026-06-02
Validación de entrada incorrecta, Control incorrecto de la generación de código ('Inyección de código') vulnerabilidad en Apache ActiveMQ Broker, Apache ActiveMQ All, Apache ActiveMQ.
Apache ActiveMQ Classic expone el puente Jolokia JMX-HTTP en /api/jolokia/ en la consola web. La política de acceso predeterminada de Jolokia permite operaciones exec en todos los MBeans de ActiveMQ (org.apache.activemq:*), incluyendo BrokerService.addNetworkConnector(String).
Un atacante autenticado puede invocar estas operaciones con un URI de descubrimiento elaborado que activa el parámetro brokerConfig del transporte VM utilizando la URL "masterslave:// " que puede permitir cargar un contexto de aplicación Spring XML usando ResourceXmlApplicationContext. Debido a que ResourceXmlApplicationContext de Spring instancia todos los beans singleton antes de que BrokerService valide la configuración, se produce ejecución de código arbitrario en la JVM del broker a través de métodos de fábrica de beans como Runtime.exec(). Este problema afecta a Apache ActiveMQ Broker: antes de 5.19.7, desde 6.0.0 antes de 6.2.6; Apache ActiveMQ All: antes de 5.19.7, desde 6.0.0 antes de 6.2.6; Apache ActiveMQ: antes de 5.19.7, desde 6.0.0 antes de 6.2.6.
Se recomienda a los usuarios actualizar a la versión 5.19.7 o 6.2.6, que corrige el problema.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.