PT-2021-16958 · Apache+2 · Apache Activemq+3

Publicado

2021-01-27

·

Atualizado

2026-06-15

·

CVE-2021-26117

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do Apache ActiveMQ Artemis anteriores à 2.16.0
Versões do Apache ActiveMQ anteriores à 5.16.1
Versões do Apache ActiveMQ anteriores à 5.15.14
Descrição
O módulo opcional de login LDAP do ActiveMQ pode ser configurado para usar acesso anônimo ao servidor LDAP. Nesse caso, o contexto anônimo é usado para verificar a senha de um usuário válido por engano, resultando na ausência de verificação da senha.
Recomendações
Para versões do Apache ActiveMQ Artemis anteriores à 2.16.0, atualize para a versão 2.16.0 ou posterior.
Para versões do Apache ActiveMQ anteriores à 5.16.1, atualize para a versão 5.16.1 ou posterior.
Para versões do Apache ActiveMQ anteriores à 5.15.14, atualize para a versão 5.15.14 ou posterior.
Como solução alternativa temporária, considere desativar o acesso anônimo ao servidor LDAP até que um patch esteja disponível.

Exploit

Correção

Improper Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-287

Identificadores relacionados

BIT-ACTIVEMQ-2021-26117
CVE-2021-26117
DLA-2583-1
DLA-3657-1
GHSA-9MGM-GCQ8-86WQ
USN-6910-1

Produtos afetados

Apache Activemq
Apache Activemq Artemis
Linuxmint
Ubuntu