Jsjcw

**Nome do Software Vulnerável e Versões Afetadas** Apache ActiveMQ versões anteriores a 5.19.6 Apache ActiveMQ versões 6.0.0 até 6.2.4 Apache ActiveMQ Broker versões anteriores a 5.19.6 Apache ActiveMQ Broker versões 6.0.0 até 6.2.4 Apache ActiveMQ All versões anteriores a 5.19.6 Apache ActiveMQ All versões 6.0.0 até 6.2.4 **Description** A validação inadequada de entrada e o controle impróprio da geração de código permitem que um invasor autenticado realize a injeção de código. Ao utilizar a página do console web de administração, um invasor pode construir um nome de broker malicioso que ignora a validação para incluir um vínculo xbean. Este vínculo pode ser utilizado por um transporte VM para carregar uma aplicação Spring XML remota. O invasor pode então usar o mbean `DestinationView` para disparar a criação de um transporte VM que referencie este nome de broker malicioso, levando ao carregamento de um arquivo de contexto Spring XML malicioso. Como o `ResourceXmlApplicationContext` instancia todos os beans singleton antes que o `BrokerService` valide a configuração, a execução de código arbitrário ocorre na JVM do broker através de métodos de fábrica de beans, como `Runtime.exec()`. **Recommendations** Atualizar versões anteriores a 5.19.6 para 5.19.6. Atualizar versões 6.0.0 até 6.2.4 para 6.2.5.