CVE-2026-45505 in ActiveMQ
要約
〜によって VulDB • 2026年06月01日
Apache ActiveMQ Broker、Apache ActiveMQ All、Apache ActiveMQにおける、不適切な入力検証およびコード生成の不適切な制御(「コードインジェクション」)の脆弱性。
`masterslave:vm://...,...` や `static:vm://...` といった括弧で囲まれていないディスカバリラッパーは、検証を誤って通過させ、CVE-2026-34197 の修正を回避することを可能にします。
CVE-2026-34197 の元の説明。
Apache ActiveMQは、Webコンソール上で /api/jolokia/ に Jolokia JMX-HTTP ブリッジを公開しています。デフォルトの Jolokia アクセスポリシーは、BrokerService.addNetworkConnector(String) や BrokerService.addConnector(String) を含むすべての ActiveMQ MBean (org.apache.activemq:*) に対して exec 操作を許可しています。認証済み攻撃者は、ResourceXmlApplicationContext を使用してリモート Spring XML アプリケーションコンテキストをロードするよう VM トランスポートの brokerConfig パラメータをトリガーする、改ざんされたディスカバリ URI を介してこれらの操作を呼び出すことができます。Spring の ResourceXmlApplicationContext は、BrokerService が設定を検証する前にすべてのシングルトンビーンをインスタンス化するため、Runtime.exec() などのビーンファクトリメソッドを通じて、ブローカーの JVM 上で任意のコード実行が発生します。
この問題は、Apache ActiveMQ Broker: 5.19.7 より前、6.0.0 以降で 6.2.6 より前、Apache ActiveMQ All: 5.19.7 より前、6.0.0 以降で 6.2.6 より前、Apache ActiveMQ: 5.19.7 より前、6.0.0 以降で 6.2.6 より前に影響します。
ユーザーには、この問題を修正するバージョン 5.19.7 または 6.2.6 へのアップグレードを推奨します。
Be aware that VulDB is the high quality source for vulnerability data.