製品・ソフトウェアに関する情報

JVN脆弱性詳細

Apache ActiveMQシリーズにおけるMQTTパケット検証不備の脆弱性［AMQ-9810］

タイトル	Apache ActiveMQシリーズにおけるMQTTパケット検証不備の脆弱性［AMQ-9810］
概要	The Apache Software Foundationが提供するApache ActiveMQシリーズではMQTTパケットの検証が適切に行われておらず、整数オーバーフローが発生して想定外の動作につながる可能性があります。 Apache ActiveMQシリーズには、次の脆弱性が存在します。 <ul><li>整数オーバーフローまたはラップアラウンド（CWE-190）- CVE-2025-66168、CVE-2026-40046</li></ul> この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がバージョン6.2.0に対する指摘として開発者とIPAに報告し、JPCERT/CCが開発者と公表の調整を行いました。報告者：三井物産セキュアディレクション株式会社田中凱氏
想定される影響	細工されたMQTTパケットを適切に処理できず、想定外の動作が発生する可能性があります。
対策	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
公表日	2026年3月4日0:00
登録日	2026年3月9日15:07
最終更新日	2026年4月24日12:11

CVSS3.0 : 警告
スコア	5.4
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

影響を受けるシステム

Apache Software Foundation

Apache ActiveMQ 5.19.2より前の5.xバージョン

Apache ActiveMQ 6.2.4より前の6.xバージョン

Apache ActiveMQ All モジュール 5.19.2より前の5.xバージョン

Apache ActiveMQ All モジュール 6.2.4より前の6.xバージョン

Apache ActiveMQ MQTT モジュール 5.19.2より前の5.xバージョン

Apache ActiveMQ MQTT モジュール 6.2.4より前の6.xバージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-66168	https://www.cve.org/CVERecord?id=CVE-2025-66168
2	CVE-2026-40046	https://www.cve.org/CVERecord?id=CVE-2026-40046
National Vulnerability Database (NVD)
3	CVE-2025-66168	https://nvd.nist.gov/vuln/detail/CVE-2025-66168
The Apache Software Foundation
4	CVE-2025-66168 - MQTT control packet remaining length field is not properly validated	https://activemq.apache.org/security-advisories.data/CVE-2025-66168-announcement.txt
5	CVE-2026-40046 - Missing fix for CVE-2025-66168: MQTT control packet remaining length field is not properly validated	https://activemq.apache.org/security-advisories.data/CVE-2026-40046-announcement.txt

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-Other	https://www.ipa.go.jp/security/vuln/scap/cwe.html

ベンダー情報

No	名前	URL
The Apache Software Foundation
1	[AMQ-9810] Add additional validation for MQTT control packets	https://issues.apache.org/jira/browse/AMQ-9810

その他

No	名前	URL
JVN
1	JVN#20669184	https://jvn.jp/jp/JVN20669184/index.html

変更履歴

No	変更内容	変更日
1	[2026年03月09日] 掲載	2026年3月9日15:07
2	[2026年04月24日] 　タイトル、概要、CVSSによる深刻度、影響を受けるシステム、想定される影響、対策、ベンダ情報、参考情報、CWEによる脆弱性タイプ一覧：内容を更新	2026年4月24日11:57

NVD脆弱性情報

CVE-2025-66168

概要	WARNING: Users of 6.x should upgrade to 6.2.4 or later as the fix was missed in previous 6.x releases. See the following for more details: https://activemq.apache.org/security-advisories.data/CVE-2026-40046-announcement.txt https://www.cve.org/CVERecord?id=CVE-2026-40046 Original Report: Apache ActiveMQ does not properly validate the remaining length field which may lead to an overflow during the decoding of malformed packets. When this integer overflow occurs, ActiveMQ may incorrectly compute the total Remaining Length and subsequently misinterpret the payload as multiple MQTT control packets which makes the broker susceptible to unexpected behavior when interacting with non-compliant clients. This behavior violates the MQTT v3.1.1 specification, which restricts Remaining Length to a maximum of 4 bytes. The scenario occurs on established connections after the authentication process. Brokers that are not enabling mqtt transport connectors are not impacted. This issue affects Apache ActiveMQ: before 5.19.2, 6.0.0 to 6.1.8, and 6.2.0 Users are recommended to upgrade to version 5.19.2, 6.1.9, or 6.2.1, which fixes the issue.
概要	Apache ActiveMQ no valida correctamente el campo de longitud restante, lo que puede llevar a un desbordamiento durante la decodificación de paquetes malformados. Cuando ocurre este desbordamiento de entero, ActiveMQ puede calcular incorrectamente la longitud restante total y posteriormente malinterpretar la carga útil como múltiples paquetes de control MQTT, lo que hace que el broker sea susceptible a un comportamiento inesperado al interactuar con clientes no conformes. Este comportamiento viola la especificación MQTT v3.1.1, que restringe la longitud restante a un máximo de 4 bytes. El escenario ocurre en conexiones establecidas después del proceso de autenticación. Los brokers que no están habilitando conectores de transporte mqtt no se ven afectados. Este problema afecta a Apache ActiveMQ: antes de 5.19.2, 6.0.0 a 6.1.8, y 6.2.0 Se recomienda a los usuarios actualizar a la versión 5.19.2, 6.1.9, o 6.2.1, que corrige el problema.
公表日	2026年3月4日18:15
登録日	2026年4月15日11:20
最終更新日	2026年4月10日20:16

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:apache:activemq::::::::				5.19.2
cpe:2.3:a:apache:activemq::::::::	6.0.0	6.1.8
cpe:2.3:a:apache:activemq:6.2.0:::::::*

No	URL	refsource
1	https://activemq.apache.org/security-advisories.data/CVE-2026-40046-announcement.txt	security@apache.org
2	https://lists.apache.org/thread/13n8mkrb2jf2y6yyhpgrkmpqcm7djyto	security@apache.org
3	https://www.cve.org/CVERecord?id=CVE-2026-40046	security@apache.org
4	http://www.openwall.com/lists/oss-security/2026/03/03/5	af854a3a-2127-422b-91ae-364da2661108

No	URL	refsource
1	https://activemq.apache.org/security-advisories.data/CVE-2026-40046-announcement.txt	security@apache.org
2	https://lists.apache.org/thread/zdntj5rcgjjzrpow84o339lzldy68zrg	security@apache.org
3	https://www.cve.org/CVERecord?id=CVE-2025-66168	security@apache.org

概要	Integer Overflow or Wraparound vulnerability in Apache ActiveMQ, Apache ActiveMQ All, Apache ActiveMQ MQTT. The fix for "CVE-2025-66168: MQTT control packet remaining length field is not properly validated" was only applied to 5.19.2 (and future 5.19.x) releases but was missed for all 6.0.0+ versions. This issue affects Apache ActiveMQ: from 6.0.0 before 6.2.4; Apache ActiveMQ All: from 6.0.0 before 6.2.4; Apache ActiveMQ MQTT: from 6.0.0 before 6.2.4. Users are recommended to upgrade to version 6.2.4 or a 5.19.x version starting with 5.19.2 or later (currently latest is 5.19.5), which fixes the issue.
公表日	2026年4月10日2:16
登録日	2026年4月15日11:34
最終更新日	2026年4月14日0:02