CVE-2026-40466 in ActiveMQИнформация

Сводка

по VulDB • 17.05.2026

Уязвимость неправильной проверки входных данных и неправильного управления генерацией кода («Внедрение кода») в Apache ActiveMQ Broker, Apache ActiveMQ All, Apache ActiveMQ.

Аутентифицированный злоумышленник может обойти исправление для CVE-2026-34197, добавив коннектор с использованием транспорта HTTP Discovery через методы BrokerView.addNetworkConnector или BrokerView.addConnector посредством Jolokia, если модуль activemq-http присутствует в classpath.

Вредоносная HTTP-конечная точка может возвращать транспорт VM через HTTP URI, что позволит обойти проверку, добавленную в CVE-2026-34197. Затем злоумышленник может использовать параметр brokerConfig транспорта VM для загрузки удаленного контекста приложения Spring XML с помощью ResourceXmlApplicationContext.

Поскольку ResourceXmlApplicationContext в Spring создает все синглтон-бэны до того, как BrokerService проверит конфигурацию, происходит произвольное выполнение кода в JVM брокера через методы фабрики бэнов, такие как Runtime.exec().

Эта проблема затрагивает Apache ActiveMQ Broker: до версии 5.19.6, начиная с 6.0.0 до 6.2.5; Apache ActiveMQ All: до версии 5.19.6, начиная с 6.0.0 до 6.2.5; Apache ActiveMQ: до версии 5.19.6, начиная с 6.0.0 до 6.2.5.

Пользователям рекомендуется обновиться до версии 5.19.6 или 6.2.5, которая устраняет данную проблему.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Раскрытие

24.04.2026

Модерация

принято

Вход

VDB-359174

EPSS

0.04783

KEV

Нет

Деятельности

Очень низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!