Apache Artemis 2.0.0 < 2.54.0 不正確的授權 (CVE-2026-40914)
medium Nessus Plugin ID 317711
語言:
概要
遠端主機受到不正確的授權弱點影響。說明
遠端主機上安裝的 Apache Artemis (之前稱為 Apache ActiveMQ Artemis) 版本受到一個弱點影響:- Apache Artemis 中存在弱點,使用具有安全性認證的 STOMP 通訊協定的應用程式,可授予位址的取用或傳送權限,以增強該位址支援的路由類型,即使該使用者沒有該特定位址的 createAddress 權限也一樣。當使用者沒有變更位址路由類型的許可權而實際拒絕該作業時,使用者可以成功將訊息傳送至位址,或取用具有對應位址不支援的路由類型的佇列中的訊息。即使使用者已獲得傳送和/或取用訊息的權限,如果沒有 createAddress 權限,他們也不應能夠擴充位址的路由類型。(CVE-2026-40914)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 Apache Artemis 2.54.0 版或更新版本。另請參閱
https://lists.apache.org/thread/sk5s6m37txbljgdcnhgqo5d4bfp2c1xd
Plugin 詳細資訊
嚴重性: Medium
ID: 317711
檔案名稱: apache_artemis_CVE-2026-40914.nasl
版本: 1.2
類型: Local
代理程式: unix
系列: Misc.
已發布: 2026/5/29
已更新: 2026/6/1
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 2.9
CVSS v2
風險因素: Medium
基本分數: 4
時間性分數: 3
媒介: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:N
CVSS 評分資料來源: CVE-2026-40914
CVSS v3
風險因素: Medium
基本分數: 4.3
時間性分數: 3.8
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:apache:activemq_artemis
必要的 KB 項目: installed_sw/Apache Artemis
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2026/5/27
弱點發布日期: 2026/5/27
參考資訊
CVE: CVE-2026-40914
IAVA: 2026-A-0519