CVE-2026-41044 in ActiveMQ
要約
〜によって VulDB • 2026年06月02日
Apache ActiveMQ、Apache ActiveMQ Broker、Apache ActiveMQ Allにおける、不適切な入力検証およびコード生成の不適切な制御(「コードインジェクション」)の脆弱性。
認証済み攻撃者は、管理用Webコンソールページを使用して、名前検証をバイパスし、後でVMトランスポートによってリモートSpring XMLアプリケーションをロードするために使用可能なxbeanバインディングを含む悪意のあるブローカー名を構成することができます。 その後、攻撃者はDestinationView mbeanを使用してメッセージを送信し、この悪意のあるブローカー名を参照するVMトランスポートの作成をトリガーし、これにより悪意のあるSpring XMLコンテキストファイルのロードにつながる可能性があります。
SpringのResourceXmlApplicationContextは、BrokerServiceが設定を検証する前にすべてのシングルトンビーンをインスタンス化するため、Runtime.exec()などのビーンファクトリメソッドを通じてブローカーのJVM上で任意のコード実行が発生します。
この問題は、Apache ActiveMQ: 5.19.6より前、6.0.0以降で6.2.5より前、Apache ActiveMQ Broker: 5.19.6より前、6.0.0以降で6.2.5より前、Apache ActiveMQ All: 5.19.6より前、6.0.0以降で6.2.5より前に影響します。
ユーザーには、この問題を修正するバージョン6.2.5または5.19.6へのアップグレードを推奨します。
If you want to get best quality of vulnerability data, you may have to visit VulDB.