[TLP:CLEAR] Apache ActiveMQ opravuje 4 zranitelnosti
Apache Software Foundation verzemi 5.19.5 a 6.2.4 opravuje 4 zranitelnosti v produktu Apache ActiveMQ (Classic, All, Broker, Client, MQTT) [1][2][3][4]. Nejzávažnější z nich jsou popsány níže, přičemž zranitelnost CVE-2026-34197 je již aktivně zneužívaná [5].
Autentizovanému vzdálenému útočníkovi je přes rozhraní Jolokia API v komponentě Broker Apache ActiveMQ (včetně distribuce All) za určitých podmínek umožněno spustit kód v systému [1][6]. Zneužití této zranitelnosti výrazně usnadňuje používání výchozích přihlašovacích údajů a také úplná absence autentizace u některých verzí řady 6 [7]. Detailní informace o zranitelnosti naleznete na [1][6].
Zranitelnost se nachází v produktech:
- Apache ActiveMQ ve verzích (<5.19.4) OR (>=6.0.0 AND <6.2.3)
- Apache ActiveMQ Broker ve verzích (<5.19.4) OR (>=6.0.0 AND <6.2.3)
- Apache ActiveMQ All ve verzích (<5.19.4) OR (>=6.0.0 AND <6.2.3)
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-34197 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-94: Improper Control of Generation of Code ('Code Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 4. 2026.
Neautentizovanému vzdálenému útočníkovi je v Apache ActiveMQ (komponenty Broker i Client) v rámci NIO SSL transportů umožněno zasíláním TLSv1.3 KeyUpdate zpráv vykonat útok DoS [2][8].
Zranitelnost se nachází v produktech:
- Apache ActiveMQ ve verzích (<5.19.4) OR (>=6.0.0 AND <6.2.4)
- Apache ActiveMQ Broker ve verzích (<5.19.4) OR (>=6.0.0 AND <6.2.4)
- Apache ActiveMQ Client ve verzích (<5.19.4) OR (>=6.0.0 AND <6.2.4)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2026-39304 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-400: Uncontrolled Resource Consumption at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 4. 2026.
Neautentizovanému vzdálenému útočníkovi je v Apache ActiveMQ (včetně distribuce All a specificky v modulu pro protokol MQTT) zasláním speciálně upraveného MQTT kontrolního paketu umožněno vykonat útok DoS [3][9]. Tato zranitelnost je regresí dřívější chyby CVE-2025-66168 [10].
Zranitelnost se nachází v produktech:
- Apache ActiveMQ ve verzích (<5.19.2) OR (>=6.0.0 AND <6.2.4)
- Apache ActiveMQ All ve verzích (<5.19.2) OR (>=6.0.0 AND <6.2.4)
- Apache ActiveMQ MQTT ve verzích (<5.19.2) OR (>=6.0.0 AND <6.2.4)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2026-40046 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-190: Integer Overflow or Wraparound at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 4. 2026.
Odkazy
- [1] https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt
- [2] https://activemq.apache.org/security-advisories.data/CVE-2026-39304-announcement.txt
- [3] https://activemq.apache.org/security-advisories.data/CVE-2026-40046-announcement.txt
- [4] https://activemq.apache.org/security-advisories.data/CVE-2026-33227-announcement.txt
- [5] https://www.cisa.gov/news-events/alerts/2026/04/16/cisa-adds-one-known-exploited-vulnerability-catalog
- [6] https://nvd.nist.gov/vuln/detail/CVE-2026-34197
- [7] https://thehackernews.com/2026/04/apache-activemq-cve-2026-34197-added-to.html
- [8] https://nvd.nist.gov/vuln/detail/CVE-2026-39304
- [9] https://nvd.nist.gov/vuln/detail/CVE-2026-40046
- [10] https://nvd.nist.gov/vuln/detail/CVE-2025-66168
Za CESNET-CERTS Michaela Ručková dne 30. 4. 2026.
