CVE-2026-40466 in ActiveMQ
Сводка
по VulDB • 17.05.2026
Уязвимость неправильной проверки входных данных и неправильного управления генерацией кода («Внедрение кода») в Apache ActiveMQ Broker, Apache ActiveMQ All, Apache ActiveMQ.
Аутентифицированный злоумышленник может обойти исправление для CVE-2026-34197, добавив коннектор с использованием транспорта HTTP Discovery через методы BrokerView.addNetworkConnector или BrokerView.addConnector посредством Jolokia, если модуль activemq-http присутствует в classpath.
Вредоносная HTTP-конечная точка может возвращать транспорт VM через HTTP URI, что позволит обойти проверку, добавленную в CVE-2026-34197. Затем злоумышленник может использовать параметр brokerConfig транспорта VM для загрузки удаленного контекста приложения Spring XML с помощью ResourceXmlApplicationContext.
Поскольку ResourceXmlApplicationContext в Spring создает все синглтон-бэны до того, как BrokerService проверит конфигурацию, происходит произвольное выполнение кода в JVM брокера через методы фабрики бэнов, такие как Runtime.exec().
Эта проблема затрагивает Apache ActiveMQ Broker: до версии 5.19.6, начиная с 6.0.0 до 6.2.5; Apache ActiveMQ All: до версии 5.19.6, начиная с 6.0.0 до 6.2.5; Apache ActiveMQ: до версии 5.19.6, начиная с 6.0.0 до 6.2.5.
Пользователям рекомендуется обновиться до версии 5.19.6 или 6.2.5, которая устраняет данную проблему.
If you want to get best quality of vulnerability data, you may have to visit VulDB.