Apache ActiveMQ < 5.19.2 / 6.0.x < 6.1.9 / 6.2.0 MQTT 控制封包驗證弱點 (CVE-2025-66168)
medium Nessus Plugin ID 300913
語言:
概要
遠端主機上執行的 Web 應用程式受到一個弱點影響。說明
遠端主機上執行的 Apache ActiveMQ 版本為 5.19.2之前的 版、 6.0.x 之前的 6.1.9版或 6.2.0版。因此,其會受到一個弱點的影響:- Apache ActiveMQ 未正確驗證 MQTT 控制封包中的剩余長度欄位其可導致在解碼格式錯誤的封包期間發生整數溢位。發生此整數溢位時ActiveMQ 可能會錯誤計算總剩余長度並隨後將承載錯誤解譯為多個 MQTT 控制封包造成代理程式在與不相容的用戶端互動時容易受到未預期行為影響。此行為違反 MQTT v3.1.1 規格該規格將剩余長度限制為最多 4 個位元組。此狀況會發生在驗證處理程序後已建立的連線上。未啟用 mqtt 傳輸連接器的 Broker 不會受到影響。
(CVE-2025-66168)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 Apache ActiveMQ 5.19.2、 6.1.9或 6.2.1 版或更新版本。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 300913
檔案名稱: activemq_6_2_1.nasl
版本: 1.2
類型: combined
代理程式: unix
系列: CGI abuses
已發布: 2026/3/5
已更新: 2026/3/6
支援的感應器: Frictionless Assessment Agent, Nessus Agent, Nessus
Enable CGI Scanning: true
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: Medium
基本分數: 5.5
媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:N
CVSS 評分資料來源: CVE-2025-66168
CVSS v3
風險因素: Medium
基本分數: 5.4
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
弱點資訊
CPE: cpe:/a:apache:activemq
必要的 KB 項目: installed_sw/Apache ActiveMQ
修補程式發佈日期: 2026/3/4
弱點發布日期: 2026/3/4
參考資訊
CVE: CVE-2025-66168
IAVB: 2026-B-0057