检测

Apache ActiveMQ < 5.19.2 / 6.0.x < 6.1.9 / 6.2.0 MQTT 控制数据包验证漏洞 (CVE-2025-66168)

medium Nessus 插件 ID 300913

语言:

简介

远程主机正在运行受漏洞影响的 Web 应用程序。

描述

远程主机上运行的 Apache ActiveMQ 版本为低于 5.19.2的、 6.0.x 低于 6.1.9的 或 6.2.0。因此,该应用程序会受到漏洞的影响:

 - Apache ActiveMQ 未正确验证 MQTT 控制数据包中的剩余长度字段这可能导致解码畸形数据包期间发生整数溢出。当发生此整数溢出时ActiveMQ 可能会错误地计算总剩余长度并随后将负载错误解释为多种 MQTT 控制数据包这使代理在与不合规的客户端交互时容易受到意外行为的影响。此行为违反了 MQTT v3.1.1 规范该规范将剩余长度限制为最大为 4 个字节。在身份验证过程之后建立的连接上会发生此情况。未启用 mqtt 传输连接器的代理不受影响。
 (CVE-2025-66168)

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到 Apache ActiveMQ 版本 5.19.2、 6.1.9或 6.2.1 或更高版本。

另见

http://www.nessus.org/u?8c9c5f41

插件详情

严重性: Medium

ID: 300913

文件名: activemq_6_2_1.nasl

版本: 1.2

类型: combined

代理: unix

系列: CGI abuses

发布时间: 2026/3/5

最近更新时间: 2026/3/6

配置: 启用全面检查 (optional)

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus

Enable CGI Scanning: true

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Medium

基本分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:N

CVSS 分数来源: CVE-2025-66168

CVSS v3

风险因素: Medium

基本分数: 5.4

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

漏洞信息

CPE: cpe:/a:apache:activemq

必需的 KB 项: installed_sw/Apache ActiveMQ

补丁发布日期: 2026/3/4

漏洞发布日期: 2026/3/4

参考资料信息

CVE: CVE-2025-66168

IAVB: 2026-B-0057