检测

Apache ActiveMQ < 5.19.7 / 6.x < 6.2.6 多种漏洞

high Nessus 插件 ID 318667

语言:

简介

远程主机正在运行受多种漏洞影响的 Web 应用程序。

描述

远程主机上运行的 Apache ActiveMQ 版本低于或6.x低于 5.19.76.2.6。因此,该应用程序受到多个漏洞的影响:

 - Apache ActiveMQ Broker、Apache ActiveMQ all、Apache ActiveMQ 中存在不正确的输入验证、对代码生成的不当控制(“代码注入”)漏洞。非括号内的发现封装程序,如 masterslave:vm://...,...和 static:vm://...错误地传递验证,从而允许绕过 中的补丁 CVE-2026-34197。经身份验证的攻击者可以使用特制的发现 URI 调用这些操作,该 URI 会触发 VM 传输的 brokerConfig 参数,以使用 ResourceXmlApplicationContext 加载远程 Spring XML 应用程序上下文。由于 Spring 的 ResourceXmlApplicationContext 在 BrokerService 验证配置之前实例化所有单例 bean,因此通过 bean factory 方法(例如 Runtime.exec())在代理的 JVM 上执行任意代码。(CVE-2026-45505)

 - Apache ActiveMQ 服务器的不完整授权允许经过认证的连接以适当的权限删除现有目标。(CVE-2026-46605)

 - Apache ActiveMQ 中的错误默认权限漏洞。默认 Jolokia 授权设置授予非管理员(低权限)Web 登录帐户访问 Jolokia 操作的权限,从而允许执行面向管理员的代理管理操作,例如 addQueue 和 removeQueue。(CVE-2026-49157)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到 Apache ActiveMQ 版本 、 6.2.6或更高版本5.19.7。

另见

http://www.nessus.org/u?a28095d0

http://www.nessus.org/u?2908cc8c

http://www.nessus.org/u?a61553df

插件详情

严重性: High

ID: 318667

文件名: activemq_6_2_6.nasl

版本: 1.2

类型: Combined

代理: unix

系列: CGI abuses

发布时间: 2026/6/4

最近更新时间: 2026/6/5

配置: 启用全面检查 (optional)

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus

Enable CGI Scanning: true

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 9

矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS 分数来源: CVE-2026-45505

CVSS v3

风险因素: High

基本分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

漏洞信息

CPE: cpe:/a:apache:activemq

必需的 KB 项: installed_sw/Apache ActiveMQ

补丁发布日期: 2026/5/31

漏洞发布日期: 2026/5/31

参考资料信息

CVE: CVE-2026-45505, CVE-2026-46605, CVE-2026-49157

IAVB: 2026-B-0145