Apache ActiveMQ < 5.19.8 / 6.x < 6.2.7 多個漏洞

high Nessus Plugin ID 324953

概要

遠端主機正在執行受到多個弱點影響的 Web 應用程式。

說明

遠端主機上執行的 Apache ActiveMQ 版本早 5.19.8 於或 6.x 早於 6.2.7。因此,會受到多個弱點影響:

- Apache ActiveMQ、Apache ActiveMQ All、Apache ActiveMQ Stomp 中的不當輸入驗證弱點。可連線至公開 STOMP 連接器的遠端未經驗證對等體,可傳送負內容長度,以觸發拒絕服務行為。針對 NIO STOMP 傳輸,攻擊者可保留串流內文位元組,並將每個連線命令緩衝區增長到超出設定的限制,以造成 OOM。對於封鎖 STOMP 通訊協定,錯誤會改為強制對受影響的連線和關閉進行異常傳輸異常處理。(CVE-2026-49432)

- Apache ActiveMQ 用戶端、Apache ActiveMQ、Apache ActiveMQ 中的記憶體配置具有過大的大小值弱點。未經驗證的網路攻擊者可傳送具有惡意大型值的特製 WireFormatInfo 框架,藉此造成代理程式 DoS。此值未經過驗證,並導致代理程式在驗證前交涉期間嘗試配置,這可能會觸發 OOM 並使代理程式當機。(CVE-2026-50734)

- Apache ActiveMQ 中的不當授權弱點。依預設,經過驗證的低權限 Web 主控台使用者可以存取 Web 主控台中的 /admin/* 路徑。預設的 Jetty 設定錯誤地未將這些路徑限制為僅限管理員。(CVE-2026-49877)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Apache ActiveMQ 版本 5.19.8、 6.2.7或更新版本。

另請參閱

http://www.nessus.org/u?0443b071

http://www.nessus.org/u?0a47df64

http://www.nessus.org/u?1cc13529

http://www.nessus.org/u?2d20bf12

http://www.nessus.org/u?446d6d04

http://www.nessus.org/u?6f600722

http://www.nessus.org/u?95621708

http://www.nessus.org/u?dbabade3

Plugin 詳細資訊

嚴重性: High

ID: 324953

檔案名稱: activemq_6_2_7.nasl

版本: 1.2

類型: Combined

代理程式: unix

系列: CGI abuses

已發布: 2026/7/3

已更新: 2026/7/6

組態: 啟用徹底檢查 (optional)

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus

Enable CGI Scanning: true

風險資訊

VPR

風險因素: Medium

分數: 4.3

百分位: 53.64

CVSS v2

風險因素: High

基本分數: 8.5

時間性分數: 6.3

媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:N

CVSS 評分資料來源: CVE-2026-49877

CVSS v3

風險因素: High

基本分數: 8.1

時間性分數: 7.1

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:apache:activemq

必要的 KB 項目: installed_sw/Apache ActiveMQ

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2026/6/29

弱點發布日期: 2026/6/29

參考資訊

CVE: CVE-2026-49432, CVE-2026-49434, CVE-2026-49877, CVE-2026-50734, CVE-2026-52760, CVE-2026-53916, CVE-2026-53917, CVE-2026-54475

IAVA: 2026-B-0181