Apache Artemis 2.0.0 < 2.54.0 错误授权 (CVE-2026-40914)
medium Nessus 插件 ID 317711
语言:
简介
远程主机受到错误授权漏洞的影响。描述
远程主机上安装的 Apache Artemis(旧称 Apache ActiveMQ Artemis)版本受到一个漏洞影响:- Apache Artemis 中存在一个漏洞,通过此漏洞,使用 STOMP 协议且安全凭据授予地址的使用或发送权限的应用程序可增加该地址支持的路由类型,即使该用户没有该特定地址的 createAddress 权限。当相应地址不支持的路由类型实际应拒绝该操作时,用户可以成功地将消息发送到地址或使用队列中的消息,原因是该用户无权更改地址的路由类型。即使用户已获得发送和/或使用消息的权限,他们也不应在没有 createAddress 权限的情况下增加地址的路由类型。(CVE-2026-40914)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级至 Apache Artemis 2.54.0 或更新版本。另见
https://lists.apache.org/thread/sk5s6m37txbljgdcnhgqo5d4bfp2c1xd
插件详情
严重性: Medium
ID: 317711
文件名: apache_artemis_CVE-2026-40914.nasl
版本: 1.1
类型: Local
代理: unix
系列: Misc.
发布时间: 2026/5/29
最近更新时间: 2026/5/29
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 2.9
CVSS v2
风险因素: Medium
基本分数: 6.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:P
CVSS 分数来源: CVE-2026-40914
CVSS v3
风险因素: Medium
基本分数: 6.5
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
漏洞信息
CPE: cpe:/a:apache:activemq_artemis
必需的 KB 项: installed_sw/Apache Artemis
补丁发布日期: 2026/5/27
漏洞发布日期: 2026/5/27
参考资料信息
CVE: CVE-2026-40914
IAVA: 2026-A-0519