| Title | Apache ActiveMQシリーズにおけるMQTTパケット検証不備の脆弱性[AMQ-9810] |
|---|---|
| Summary | The Apache Software Foundationが提供するApache ActiveMQシリーズではMQTTパケットの検証が適切に行われておらず、整数オーバーフローが発生して想定外の動作につながる可能性があります。 Apache ActiveMQシリーズには、次の脆弱性が存在します。 <ul><li>整数オーバーフローまたはラップアラウンド(CWE-190)- CVE-2025-66168、CVE-2026-40046</li></ul> この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がバージョン6.2.0に対する指摘として開発者とIPAに報告し、JPCERT/CCが開発者と公表の調整を行いました。 報告者:三井物産セキュアディレクション株式会社 田中 凱 氏 |
| Possible impacts | 細工されたMQTTパケットを適切に処理できず、想定外の動作が発生する可能性があります。 |
| Solution | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 |
| Publication Date | March 4, 2026, midnight |
| Registration Date | March 9, 2026, 3:07 p.m. |
| Last Update | April 24, 2026, 12:11 p.m. |
| CVSS3.0 : 警告 | |
| Score | 5.4 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
| Apache Software Foundation |
| Apache ActiveMQ 5.19.2より前の5.xバージョン |
| Apache ActiveMQ 6.2.4より前の6.xバージョン |
| Apache ActiveMQ All モジュール 5.19.2より前の5.xバージョン |
| Apache ActiveMQ All モジュール 6.2.4より前の6.xバージョン |
| Apache ActiveMQ MQTT モジュール 5.19.2より前の5.xバージョン |
| Apache ActiveMQ MQTT モジュール 6.2.4より前の6.xバージョン |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年03月09日] 掲載 |
March 9, 2026, 3:07 p.m. |
| 2 | [2026年04月24日] タイトル、概要、CVSSによる深刻度、影響を受けるシステム、想定される影響、対策、ベンダ情報、参考情報、CWEによる脆弱性タイプ一覧:内容を更新 |
April 24, 2026, 11:57 a.m. |
| Summary | WARNING: Users of 6.x should upgrade to 6.2.4 or later as the fix was missed in previous 6.x releases. See the following for more details: Original Report: Apache ActiveMQ does not properly validate the remaining length field which may lead to an overflow during the decoding of malformed packets. When this integer overflow occurs, ActiveMQ may incorrectly compute the total Remaining Length and subsequently misinterpret the payload as multiple MQTT control packets which makes the broker susceptible to unexpected behavior when interacting with non-compliant clients. This behavior violates the MQTT v3.1.1 specification, which restricts Remaining Length to a maximum of 4 bytes. The scenario occurs on established connections after the authentication process. Brokers that are not enabling mqtt transport connectors are not impacted. This issue affects Apache ActiveMQ: before 5.19.2, 6.0.0 to 6.1.8, and 6.2.0 Users are recommended to upgrade to version 5.19.2, 6.1.9, or 6.2.1, which fixes the issue. |
|---|---|
| Summary | Apache ActiveMQ no valida correctamente el campo de longitud restante, lo que puede llevar a un desbordamiento durante la decodificación de paquetes malformados. Cuando ocurre este desbordamiento de entero, ActiveMQ puede calcular incorrectamente la longitud restante total y posteriormente malinterpretar la carga útil como múltiples paquetes de control MQTT, lo que hace que el broker sea susceptible a un comportamiento inesperado al interactuar con clientes no conformes. Este comportamiento viola la especificación MQTT v3.1.1, que restringe la longitud restante a un máximo de 4 bytes. El escenario ocurre en conexiones establecidas después del proceso de autenticación. Los brokers que no están habilitando conectores de transporte mqtt no se ven afectados. Este problema afecta a Apache ActiveMQ: antes de 5.19.2, 6.0.0 a 6.1.8, y 6.2.0 Se recomienda a los usuarios actualizar a la versión 5.19.2, 6.1.9, o 6.2.1, que corrige el problema. |
| Publication Date | March 4, 2026, 6:15 p.m. |
| Registration Date | April 15, 2026, 11:20 a.m. |
| Last Update | April 10, 2026, 8:16 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:activemq:*:*:*:*:*:*:*:* | 5.19.2 | ||||
| cpe:2.3:a:apache:activemq:*:*:*:*:*:*:*:* | 6.0.0 | 6.1.8 | |||
| cpe:2.3:a:apache:activemq:6.2.0:*:*:*:*:*:*:* | |||||
| Summary | Integer Overflow or Wraparound vulnerability in Apache ActiveMQ, Apache ActiveMQ All, Apache ActiveMQ MQTT. The fix for "CVE-2025-66168: MQTT control packet remaining length field is not properly validated" was only applied to 5.19.2 (and future 5.19.x) releases but was missed for all 6.0.0+ versions. This issue affects Apache ActiveMQ: from 6.0.0 before 6.2.4; Apache ActiveMQ All: from 6.0.0 before 6.2.4; Apache ActiveMQ MQTT: from 6.0.0 before 6.2.4. Users are recommended to upgrade to version 6.2.4 or a 5.19.x version starting with 5.19.2 or later (currently latest is 5.19.5), which fixes the issue. |
|---|---|
| Publication Date | April 10, 2026, 2:16 a.m. |
| Registration Date | April 15, 2026, 11:34 a.m. |
| Last Update | April 14, 2026, 12:02 a.m. |