Katalog CVE

CVE-2026-49157

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W podatności Incorrect Default Permissions w Apache ActiveMQ, przed wersją 5.19.7 oraz od 6.0.0 do przed 6.2.6, domyślne ustawienia autoryzacji Jolokia przyznawały kontom web-login o niskich uprawnieniach dostęp do operacji Jolokia. To umożliwiało wykonywanie operacji zarządzania brokerem, które były przeznaczone dla administratorów, takich jak dodawanie i usuwanie kolejek.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowane operacje zarządzania brokerem, co może prowadzić do poważnych problemów z bezpieczeństwem i integralnością systemu. Niekontrolowany dostęp do funkcji administracyjnych może skutkować utratą danych lub zakłóceniem działania usług.

Rekomendacja

Zaleca się aktualizację do wersji 6.2.6 lub 5.19.7, które naprawiają tę podatność. Regularne aktualizacje oprogramowania są kluczowe dla zapewnienia bezpieczeństwa systemów.

Oryginalny opis (angielski, źródło NVD)

Incorrect Default Permissions vulnerability in Apache ActiveMQ. This issue affects Apache ActiveMQ: before 5.19.7, from 6.0.0 before 6.2.6. The default Jolokia authorization settings granted non-admin (low-privilege) web-login accounts access to Jolokia operations which allowed executing broker management operations meant for admins such as addQueue and removeQueue. Users are recommended to upgrade to version 6.2.6 or 5.19.7, which fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS