CVE-2026-27446

Nome do Software Vulnerável e Versões Afetadas Apache Artemis versões 2.50.0 a 2.51.0 Apache ActiveMQ Artemis versões 2.11.0 a 2.44.0

Descrição Existe uma verificação de autenticação ausente para uma função crítica no Apache Artemis e no Apache ActiveMQ Artemis. Um atacante remoto não autenticado pode utilizar o protocolo Core para forçar um broker a estabelecer uma conexão de federação Core de saída para um broker malicioso controlado pelo atacante. Isso pode levar à injeção de mensagens em qualquer fila e/ou à exfiltração de mensagens de qualquer fila através do broker malicioso. O problema impacta ambientes que permitem tanto conexões de entrada do protocolo Core de fontes não confiáveis quanto conexões de saída do protocolo Core para alvos não confiáveis.

Recomendações Atualize para a versão 2.52.0 do Apache Artemis. Remova o suporte ao protocolo Core de qualquer acceptor que receba conexões de fontes não confiáveis. Utilize SSL bidirecional (autenticação baseada em certificado) para exigir que os clientes apresentem um certificado SSL válido antes de qualquer handshake do protocolo de mensagem.