CVE-2026-49432
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 53 — wyżej niż 53% wszystkich znanych CVE
Streszczenie
W Apache ActiveMQ wykryto podatność polegającą na nieprawidłowej walidacji danych wejściowych w protokole STOMP. Zdalny, nieuwierzytelniony atakujący może wysłać ujemny nagłówek content-length, powodując odmowę usługi (DoS). W przypadku transportu NIO STOMP prowadzi to do wyczerpania pamięci (OOM), a dla blokującego STOMP do błędów zamykających połączenie.
Ocena ryzyka
Organizacja narażona jest na ataki DoS z zewnątrz, które mogą zakłócić działanie systemów korzystających z ActiveMQ, prowadząc do niedostępności usług i potencjalnych strat finansowych.
Rekomendacja
Należy niezwłocznie zaktualizować Apache ActiveMQ do wersji 5.19.8 lub 6.2.7, które zawierają poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
Improper Input Validation vulnerability in Apache ActiveMQ, Apache ActiveMQ All, Apache ActiveMQ Stomp. A remote unauthenticated peer that can reach an exposed STOMP connector can trigger denial-of-service behavior by sending a negative content-length. For the NIO STOMP transport, an attacker can keep streaming body bytes and grow the per-connection command buffer beyond configured limits to cause OOM. For the blocking STOMP protocol, an error will instead force abnormal transport exception handling for the affected connection and closure. This issue affects Apache ActiveMQ: before 5.19.8, from 6.0.0 before 6.2.7; Apache ActiveMQ All: before 5.19.8, from 6.0.0 before 6.2.7; Apache ActiveMQ Stomp: before 5.19.8, from 6.0.0 before 6.2.7. Users are recommended to upgrade to version 6.2.7 or 5.19.8, which fixes the issue.

