CVE-2026-49157
WysokieCVSS 8.8Streszczenie
W podatności Incorrect Default Permissions w Apache ActiveMQ, przed wersją 5.19.7 oraz od 6.0.0 do przed 6.2.6, domyślne ustawienia autoryzacji Jolokia przyznawały kontom web-login o niskich uprawnieniach dostęp do operacji Jolokia. To umożliwiało wykonywanie operacji zarządzania brokerem, które były przeznaczone dla administratorów, takich jak dodawanie i usuwanie kolejek.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowane operacje zarządzania brokerem, co może prowadzić do poważnych problemów z bezpieczeństwem i integralnością systemu. Niekontrolowany dostęp do funkcji administracyjnych może skutkować utratą danych lub zakłóceniem działania usług.
Rekomendacja
Zaleca się aktualizację do wersji 6.2.6 lub 5.19.7, które naprawiają tę podatność. Regularne aktualizacje oprogramowania są kluczowe dla zapewnienia bezpieczeństwa systemów.
Oryginalny opis (angielski, źródło NVD)
Incorrect Default Permissions vulnerability in Apache ActiveMQ. This issue affects Apache ActiveMQ: before 5.19.7, from 6.0.0 before 6.2.6. The default Jolokia authorization settings granted non-admin (low-privilege) web-login accounts access to Jolokia operations which allowed executing broker management operations meant for admins such as addQueue and removeQueue. Users are recommended to upgrade to version 6.2.6 or 5.19.7, which fixes the issue.

