CVE-2026-40466 in ActiveMQinformazioni

Riassunto

di VulDB • 02/07/2026

Validazione impropria degli input e controllo improprio della generazione di codice ('Code Injection') nel Broker Apache ActiveMQ, in Apache ActiveMQ All e in Apache ActiveMQ.

Un attaccante autenticato può eludere la correzione introdotta per CVE-2026-34197 aggiungendo un connettore tramite il trasporto HTTP Discovery utilizzando `BrokerView.addNetworkConnector` o `BrokerView.addConnector` attraverso Jolokia, purché il modulo activemq-http sia presente nel classpath.

Un endpoint HTTP malevolo può restituire un trasporto VM (Virtual Machine) tramite l'URI HTTP, eludendo così la validazione aggiunta in CVE-2026-34197. L'attaccante può quindi utilizzare il parametro `brokerConfig` del trasporto VM per caricare un contesto dell'applicazione Spring XML remoto mediante `ResourceXmlApplicationContext`.

Poiché `ResourceXmlApplicationContext` di Spring istanzia tutti i bean singleton prima che BrokerService convalidi la configurazione, si verifica l'esecuzione arbitraria di codice sulla JVM del broker tramite metodi della factory dei bean come `Runtime.exec()`.

Questo problema interessa Apache ActiveMQ Broker: versioni precedenti alla 5.19.6 e dalla 6.0.0 fino a (esclusa) la 6.2.5; Apache ActiveMQ All: versioni precedenti alla 5.19.6 e dalla 6.0.0 fino a (esclusa) la 6.2.5; Apache ActiveMQ: versioni precedenti alla 5.19.6 e dalla 6.0.0 fino a (esclusa) la 6.2.5.

Si consiglia agli utenti di effettuare l'aggiornamento alle versioni 5.19.6 o 6.2.5, che risolvono il problema.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Fonti

Interested in the pricing of exploits?

See the underground prices here!