CVE-2026-45505

Nome do Software Vulnerável e Versões Afetadas Apache ActiveMQ Broker versões anteriores a 5.19.7 Apache ActiveMQ Broker versões 6.0.0 a 6.2.5 Apache ActiveMQ All versões anteriores a 5.19.7 Apache ActiveMQ All versões 6.0.0 a 6.2.5 Apache ActiveMQ versões anteriores a 5.19.7 Apache ActiveMQ versões 6.0.0 a 6.2.5

Description A validação inadequada de entrada e o controle impróprio da geração de código permitem a injeção de código. O software expõe a ponte Jolokia JMX-HTTP no endpoint '/api/jolokia/'. A política de acesso padrão permite operações de execução em MBeans do ActiveMQ, especificamente nas funções BrokerService.addNetworkConnector(String) e BrokerService.addConnector(String). Um invasor autenticado pode usar uma URI de descoberta manipulada, como masterslave:vm://...,... ou static:vm://..., para acionar o parâmetro brokerConfig do transporte VM. Isso faz com que o ResourceXmlApplicationContext carregue um contexto de aplicação Spring XML remoto. Como os beans singleton são instanciados antes da validação da configuração, código arbitrário pode ser executado na JVM do broker por meio de métodos de fábrica de beans, como Runtime.exec().

Recommendations Atualizar Apache ActiveMQ Broker versões anteriores a 5.19.7 para 5.19.7. Atualizar Apache ActiveMQ Broker versões 6.0.0 a 6.2.5 para 6.2.6. Atualizar Apache ActiveMQ All versões anteriores a 5.19.7 para 5.19.7. Atualizar Apache ActiveMQ All versões 6.0.0 a 6.2.5 para 6.2.6. Atualizar Apache ActiveMQ versões anteriores a 5.19.7 para 5.19.7. Atualizar Apache ActiveMQ versões 6.0.0 a 6.2.5 para 6.2.6.