CVE-2026-54475
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 44 — wyżej niż 44% wszystkich znanych CVE
Streszczenie
W Apache ActiveMQ wykryto brak autoryzacji dla tymczasowych kolejek. Oczekiwano, że tymczasowe kolejki będą izolowane dla połączenia, które je utworzyło, jednak izolacja ta jest sprawdzana tylko po stronie klienta, co pozwala innemu połączeniu na konsumpcję z tymczasowej kolejki innego połączenia.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego dostępu do tymczasowych kolejek przez inne połączenia, co może prowadzić do wycieku danych lub naruszenia integralności komunikatów.
Rekomendacja
Zaleca się natychmiastową aktualizację Apache ActiveMQ do wersji 6.2.7 lub nowszej, która zawiera poprawkę usuwającą tę podatność.
Oryginalny opis (angielski, źródło NVD)
Missing Authorization vulnerability in Apache ActiveMQ Broker, Apache ActiveMQ All, Apache ActiveMQ. Apache ActiveMQ Classic temporary destinations are expected to be isolated to the connection that created them. The isolation can be broken as this is only checked in the client, allowing a different connection to consume from another connection's temporary destination. This issue affects Apache ActiveMQ Broker: before 5.19.8, from 6.0.0 before 6.2.7; Apache ActiveMQ All: before 5.19.8, from 6.0.0 before 6.2.7; Apache ActiveMQ: before 5.19.8, from 6.0.0 before 6.2.7. Users are recommended to upgrade to version 6.2.7, which fixes the issue.

