PT-2026-45373 · Apache · Activemq

·

CVE-2026-42588

·

Publicado

2026-05-31

·

Atualizado

2026-07-04

CVSS v2.0

8.5

Alta

VetorAV:N/AC:L/Au:S/C:C/I:C/A:N
Nome do Software Vulnerável e Versões Afetadas Apache ActiveMQ Broker versões anteriores a 5.19.7 Apache ActiveMQ Broker versões 6.0.0 a 6.2.5 Apache ActiveMQ All versões anteriores a 5.19.7 Apache ActiveMQ All versões 6.0.0 a 6.2.5 Apache ActiveMQ versões anteriores a 5.19.7 Apache ActiveMQ versões 6.0.0 a 6.2.5
Description A validação inadequada de entrada e o controle impróprio da geração de código levam a um problema de injeção de código. O Apache ActiveMQ Classic expõe a ponte Jolokia JMX-HTTP no endpoint '/api/jolokia/' no console web. A política de acesso padrão permite operações de execução em todos os MBeans do ActiveMQ, especificamente a função addNetworkConnector(String) dentro do BrokerService. Um invasor autenticado pode usar uma URI de descoberta manipulada para acionar o parâmetro brokerConfig do transporte VM via uma URL "masterslave://". Isso permite o carregamento de um contexto de aplicação Spring XML usando ResourceXmlApplicationContext. Como esse contexto instancia beans singleton antes que a configuração seja validada, código arbitrário pode ser executado na JVM do broker por meio de métodos de fábrica de beans, como Runtime.exec().
Recommendations Atualize o Apache ActiveMQ Broker para a versão 5.19.7 ou 6.2.6. Atualize o Apache ActiveMQ All para a versão 5.19.7 ou 6.2.6. Atualize o Apache ActiveMQ para a versão 5.19.7 ou 6.2.6.

Exploit

Correção

DoS

RCE

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BDU:2026-08456
BIT-ACTIVEMQ-2026-42588
CVE-2026-42588
GHSA-HG6C-8MVR-JQC9
OESA-2026-2723
OESA-2026-2724
OESA-2026-2725

Produtos afetados

Activemq