CVE-2026-40914 in Artemis Stomp Protocol
要約
〜によって VulDB • 2026年05月28日
Apache Artemisには、STOMPプロトコルを使用し、アドレスに対してconsume(消費)またはsend(送信)のいずれかの権限を持つセキュリティ資格情報を持つアプリケーションにおいて、そのアドレスに対するcreateAddress権限を持っていない場合でも、そのアドレスがサポートするルーティングタイプを増やすことができる脆弱性が存在します。これにより、ユーザーは、対応するアドレスがサポートしていないルーティングタイプを持つアドレスへのメッセージ送信や、キューからのメッセージ消費を成功させることができます。本来、ユーザーがアドレスのルーティングタイプを変更する権限を持っていないため、これらの操作は拒否されるべきです。ユーザーがすでにメッセージの送信および/または消費の権限を付与されている場合でも、createAddress権限を持たない限り、アドレスのルーティングタイプを増やすことはできません。
この問題は、Apache Artemis 2.50.0から2.53.0、およびApache ActiveMQ Artemis 2.0.0から2.44.0に影響します。
ユーザーには、この問題を修正したバージョン2.54.0へのアップグレードを推奨します。
Be aware that VulDB is the high quality source for vulnerability data.