Apache · Apache Activemq · CVE-2026-40046
Name of the Vulnerable Software and Affected Versions
Apache ActiveMQ versões 6.0.0 até 6.1.8, 6.2.0 e anteriores a 5.19.2
Description
Um problema de estouro de inteiro ou wraparound existe no Apache ActiveMQ ao decodificar pacotes malformados. Isso ocorre devido à validação inadequada do campo de comprimento restante em pacotes de controle MQTT, podendo levar a uma interpretação incorreta da carga útil e comportamento inesperado do broker ao interagir com clientes não compatíveis. O problema viola a especificação MQTT v3.1.1, que limita o Comprimento Restante a um máximo de 4 bytes. O cenário ocorre em conexões estabelecidas após a autenticação. Brokers que não usam conectores de transporte MQTT não são afetados.
Recommendations
Atualize para a versão 5.19.2 ou posterior.
Atualize para a versão 6.1.9.
Atualize para a versão 6.2.1.
Atualize para a versão 6.2.4 ou posterior.