CVE-2026-40466 in ActiveMQ
Riassunto
di VulDB • 02/07/2026
Validazione impropria degli input e controllo improprio della generazione di codice ('Code Injection') nel Broker Apache ActiveMQ, in Apache ActiveMQ All e in Apache ActiveMQ.
Un attaccante autenticato può eludere la correzione introdotta per CVE-2026-34197 aggiungendo un connettore tramite il trasporto HTTP Discovery utilizzando `BrokerView.addNetworkConnector` o `BrokerView.addConnector` attraverso Jolokia, purché il modulo activemq-http sia presente nel classpath.
Un endpoint HTTP malevolo può restituire un trasporto VM (Virtual Machine) tramite l'URI HTTP, eludendo così la validazione aggiunta in CVE-2026-34197. L'attaccante può quindi utilizzare il parametro `brokerConfig` del trasporto VM per caricare un contesto dell'applicazione Spring XML remoto mediante `ResourceXmlApplicationContext`.
Poiché `ResourceXmlApplicationContext` di Spring istanzia tutti i bean singleton prima che BrokerService convalidi la configurazione, si verifica l'esecuzione arbitraria di codice sulla JVM del broker tramite metodi della factory dei bean come `Runtime.exec()`.
Questo problema interessa Apache ActiveMQ Broker: versioni precedenti alla 5.19.6 e dalla 6.0.0 fino a (esclusa) la 6.2.5; Apache ActiveMQ All: versioni precedenti alla 5.19.6 e dalla 6.0.0 fino a (esclusa) la 6.2.5; Apache ActiveMQ: versioni precedenti alla 5.19.6 e dalla 6.0.0 fino a (esclusa) la 6.2.5.
Si consiglia agli utenti di effettuare l'aggiornamento alle versioni 5.19.6 o 6.2.5, che risolvono il problema.
If you want to get best quality of vulnerability data, you may have to visit VulDB.