CVE-2026-41044

Nome do Software Vulnerável e Versões Afetadas Apache ActiveMQ versões anteriores a 5.19.6 Apache ActiveMQ versões 6.0.0 até 6.2.4 Apache ActiveMQ Broker versões anteriores a 5.19.6 Apache ActiveMQ Broker versões 6.0.0 até 6.2.4 Apache ActiveMQ All versões anteriores a 5.19.6 Apache ActiveMQ All versões 6.0.0 até 6.2.4

Description A validação inadequada de entrada e o controle impróprio da geração de código permitem que um invasor autenticado realize a injeção de código. Ao utilizar a página do console web de administração, um invasor pode construir um nome de broker malicioso que ignora a validação para incluir um vínculo xbean. Este vínculo pode ser utilizado por um transporte VM para carregar uma aplicação Spring XML remota. O invasor pode então usar o mbean DestinationView para disparar a criação de um transporte VM que referencie este nome de broker malicioso, levando ao carregamento de um arquivo de contexto Spring XML malicioso. Como o ResourceXmlApplicationContext instancia todos os beans singleton antes que o BrokerService valide a configuração, a execução de código arbitrário ocorre na JVM do broker através de métodos de fábrica de beans, como Runtime.exec().

Recommendations Atualizar versões anteriores a 5.19.6 para 5.19.6. Atualizar versões 6.0.0 até 6.2.4 para 6.2.5.