CVE-2026-40046

Name of the Vulnerable Software and Affected Versions Apache ActiveMQ versões 6.0.0 até 6.1.8, 6.2.0 e anteriores a 5.19.2

Description Um problema de estouro de inteiro ou wraparound existe no Apache ActiveMQ ao decodificar pacotes malformados. Isso ocorre devido à validação inadequada do campo de comprimento restante em pacotes de controle MQTT, podendo levar a uma interpretação incorreta da carga útil e comportamento inesperado do broker ao interagir com clientes não compatíveis. O problema viola a especificação MQTT v3.1.1, que limita o Comprimento Restante a um máximo de 4 bytes. O cenário ocorre em conexões estabelecidas após a autenticação. Brokers que não usam conectores de transporte MQTT não são afetados.

Recommendations Atualize para a versão 5.19.2 ou posterior. Atualize para a versão 6.1.9. Atualize para a versão 6.2.1. Atualize para a versão 6.2.4 ou posterior.