CVE-2026-40466

Nome do Software Vulnerável e Versões Afetadas Apache ActiveMQ Broker versões anteriores a 5.19.6 Apache ActiveMQ Broker versões 6.0.0 a 6.2.4 Apache ActiveMQ All versões anteriores a 5.19.6 Apache ActiveMQ All versões 6.0.0 a 6.2.4 Apache ActiveMQ versões anteriores a 5.19.6 Apache ActiveMQ versões 6.0.0 a 6.2.4

Description A validação inadequada de entrada e o controle impróprio da geração de código permitem que um invasor autenticado execute código remotamente na JVM do broker. Se o módulo activemq-http estiver no classpath, um invasor pode usar o Jolokia para adicionar um conector via BrokerView.addNetworkConnector() ou BrokerView.addConnector() utilizando um transporte de Descoberta HTTP. Um endpoint HTTP malicioso pode retornar um transporte VM através da URI HTTP, ignorando as validações existentes. O invasor pode então utilizar o parâmetro brokerConfig do transporte VM para carregar um contexto de aplicação Spring XML remoto via ResourceXmlApplicationContext. Como o ResourceXmlApplicationContext instancia todos os beans singleton antes que o BrokerService valide a configuração, a execução de código arbitrário ocorre através de métodos de fábrica de beans, como Runtime.exec().

Recommendations Atualizar o Apache ActiveMQ Broker versões anteriores a 5.19.6 para a versão 5.19.6. Atualizar o Apache ActiveMQ Broker versões 6.0.0 a 6.2.4 para a versão 6.2.5. Atualizar o Apache ActiveMQ All versões anteriores a 5.19.6 para a versão 5.19.6. Atualizar o Apache ActiveMQ All versões 6.0.0 a 6.2.4 para a versão 6.2.5. Atualizar o Apache ActiveMQ versões anteriores a 5.19.6 para a versão 5.19.6. Atualizar o Apache ActiveMQ versões 6.0.0 a 6.2.4 para a versão 6.2.5.