Katalog CVE

CVE-2026-53916

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.80%

Percentyl 52 — wyżej niż 52% wszystkich znanych CVE

Streszczenie

Podatność w Apache ActiveMQ pozwala nieuwierzytelnionemu klientowi na wysłanie przez STOMP NIO nagłówków, które nigdy się nie kończą, co powoduje nieograniczone buforowanie przez brokera i wyczerpanie sterty JVM.

Ocena ryzyka

Atak może doprowadzić do wyczerpania pamięci JVM i odmowy usługi (DoS), co wpływa na dostępność systemów korzystających z ActiveMQ.

Rekomendacja

Należy niezwłocznie zaktualizować Apache ActiveMQ do wersji 5.19.8 lub 6.2.7, które zawierają poprawkę.

Oryginalny opis (angielski, źródło NVD)

Memory Allocation with Excessive Size Value vulnerability in Apache ActiveMQ, Apache ActiveMQ All, Apache ActiveMQ Stomp. An unauthenticated client that opens a STOMP NIO connection can send header bytes that never terminate which makes the broker buffer them without limit, exhausting the JVM heap. This issue affects Apache ActiveMQ: before 5.19.8, from 6.0.0 before 6.2.7; Apache ActiveMQ All: before 5.19.8, from 6.0.0 before 6.2.7; Apache ActiveMQ Stomp: before 5.19.8, from 6.0.0 before 6.2.7. Users are recommended to upgrade to version 6.2.7 or 5.19.8, which fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS