| Title | Apache Software FoundationのApache ActiveMQ等の複数製品における複数の脆弱性 |
|---|---|
| Summary | Apache ActiveMQ、Apache ActiveMQ Broker、Apache ActiveMQ Allにおける、不適切な入力検証およびコード生成の制御不備(コードインジェクション)の脆弱性です。認証された攻撃者は、管理ウェブコンソールページを使用して名前検証を回避する悪意のあるブローカー名を構築でき、これによりVMトランスポートが後にリモートのSpring XMLアプリケーションをロードするためのxbeanバインディングを含めることが可能となります。攻撃者はDestinationView mbeanを用いてメッセージを送信し、VMトランスポートの生成を引き起こし、この悪意のあるブローカー名を参照させることで悪意のあるSpring XMLコンテキストファイルを読み込ませることができます。SpringのResourceXmlApplicationContextは、BrokerServiceが設定を検証する前にすべてのシングルトンビーンをインスタンス化するため、Runtime.exec()などのビーンファクトリメソッドを通じてブローカーのJVM上で任意のコードを実行させる可能性があります。この問題はApache ActiveMQの5.19.6未満のバージョン、6.0.0から6.2.5未満のバージョン、Apache ActiveMQ Brokerの同様のバージョン範囲、およびApache ActiveMQ Allの同様のバージョン範囲に影響します。ユーザーはこの問題を修正した6.2.5または5.19.6へのアップグレードを推奨します。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 24, 2026, midnight |
| Registration Date | April 30, 2026, 12:27 p.m. |
| Last Update | April 30, 2026, 12:27 p.m. |
| CVSS3.0 : 重要 | |
| Score | 8.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Apache Software Foundation |
| ActiveMQ Broker 5.19.6 未満 |
| ActiveMQ Broker 6.0.0 以上 6.2.5 未満 |
| Apache ActiveMQ 5.19.6 未満 |
| Apache ActiveMQ 6.0.0 以上 6.2.5 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
April 30, 2026, 12:27 p.m. |
| Summary | Improper Input Validation, Improper Control of Generation of Code ('Code Injection') vulnerability in Apache ActiveMQ, Apache ActiveMQ Broker, Apache ActiveMQ All. An authenticated attacker can use the admin web console page to construct a malicious broker name that bypasses name validation to include an xbean binding that can be later used by a VM transport to load a remote Spring XML application. Because Spring's ResourceXmlApplicationContext instantiates all singleton beans before the BrokerService validates the configuration, arbitrary code execution occurs on the broker's JVM through bean factory methods such as Runtime.exec(). This issue affects Apache ActiveMQ: before 5.19.6, from 6.0.0 before 6.2.5; Apache ActiveMQ Broker: before 5.19.6, from 6.0.0 before 6.2.5; Apache ActiveMQ All: before 5.19.6, from 6.0.0 before 6.2.5. Users are recommended to upgrade to version 6.2.5 or 5.19.6, which fixes the issue. |
|---|---|
| Publication Date | April 24, 2026, 8:16 p.m. |
| Registration Date | April 25, 2026, 4:07 a.m. |
| Last Update | April 27, 2026, 11:49 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:activemq:*:*:*:*:*:*:*:* | 5.19.6 | ||||
| cpe:2.3:a:apache:activemq:*:*:*:*:*:*:*:* | 6.0.0 | 6.2.5 | |||
| cpe:2.3:a:apache:activemq_broker:*:*:*:*:*:*:*:* | 5.19.6 | ||||
| cpe:2.3:a:apache:activemq_broker:*:*:*:*:*:*:*:* | 6.0.0 | 6.2.5 | |||