CVE-2026-42588

Nome do Software Vulnerável e Versões Afetadas Apache ActiveMQ Broker versões anteriores a 5.19.7 Apache ActiveMQ Broker versões 6.0.0 a 6.2.5 Apache ActiveMQ All versões anteriores a 5.19.7 Apache ActiveMQ All versões 6.0.0 a 6.2.5 Apache ActiveMQ versões anteriores a 5.19.7 Apache ActiveMQ versões 6.0.0 a 6.2.5

Description A validação inadequada de entrada e o controle impróprio da geração de código levam à injeção de código no Apache ActiveMQ Classic. O software expõe a ponte Jolokia JMX-HTTP no endpoint '/api/jolokia/' no console web. A política de acesso padrão permite operações de execução em todos os MBeans do ActiveMQ, especificamente a função addNetworkConnector(String) do BrokerService. Um invasor autenticado pode usar uma URI de descoberta manipulada para acionar o parâmetro brokerConfig do transporte VM via uma URL "masterslave://". Isso permite o carregamento de um contexto de aplicação Spring XML usando ResourceXmlApplicationContext. Como o ResourceXmlApplicationContext instancia todos os beans singleton antes que o BrokerService valide a configuração, a execução de código arbitrário ocorre na JVM do broker por meio de métodos de fábrica de beans, como Runtime.exec().

Recommendations Atualizar versões anteriores a 5.19.7 para 5.19.7. Atualizar versões 6.0.0 a 6.2.5 para 6.2.6.