Apache · Activemq · CVE-2026-45505
**Nome do Software Vulnerável e Versões Afetadas**
Apache ActiveMQ Broker versões anteriores a 5.19.7
Apache ActiveMQ Broker versões 6.0.0 a 6.2.5
Apache ActiveMQ All versões anteriores a 5.19.7
Apache ActiveMQ All versões 6.0.0 a 6.2.5
Apache ActiveMQ versões anteriores a 5.19.7
Apache ActiveMQ versões 6.0.0 a 6.2.5
**Description**
A validação inadequada de entrada e o controle impróprio da geração de código permitem a injeção de código. O software expõe a ponte Jolokia JMX-HTTP no endpoint '/api/jolokia/'. A política de acesso padrão permite operações de execução em MBeans do ActiveMQ, especificamente nas funções `BrokerService.addNetworkConnector(String)` e `BrokerService.addConnector(String)`. Um invasor autenticado pode usar uma URI de descoberta manipulada, como `masterslave:vm://...,...` ou `static:vm://...`, para acionar o parâmetro `brokerConfig` do transporte VM. Isso faz com que o `ResourceXmlApplicationContext` carregue um contexto de aplicação Spring XML remoto. Como os beans singleton são instanciados antes da validação da configuração, código arbitrário pode ser executado na JVM do broker por meio de métodos de fábrica de beans, como `Runtime.exec()`.
**Recommendations**
Atualizar Apache ActiveMQ Broker versões anteriores a 5.19.7 para 5.19.7.
Atualizar Apache ActiveMQ Broker versões 6.0.0 a 6.2.5 para 6.2.6.
Atualizar Apache ActiveMQ All versões anteriores a 5.19.7 para 5.19.7.
Atualizar Apache ActiveMQ All versões 6.0.0 a 6.2.5 para 6.2.6.
Atualizar Apache ActiveMQ versões anteriores a 5.19.7 para 5.19.7.
Atualizar Apache ActiveMQ versões 6.0.0 a 6.2.5 para 6.2.6.