The version of Apache ActiveMQ running on the remote host is 5.x prior to 5.13.2. It is, therefore, affected by multiple vulnerabilities :

  - A clickjacking vulnerability exists in the web-based     administration console due to not setting the     X-Frame-Options header in HTTP responses. A remote     attacker can exploit this to trick a user into executing     administrative tasks. (CVE-2016-0734)

  - Multiple cross-site scripting vulnerabilities exists in     the web-based administration console to improper     validation of user-supplied input. A remote attacker can     exploit these, via a specially crafted request, to     execute arbitrary script code in a user's browser     session. (CVE-2016-0782)

Note that CVE-2016-0734 was partially fixed in 5.11.4 and 5.12.3 by setting the X-Frame-Options header for Servlets and JSPs but not static content. Therefore, the fix for these versions is incomplete, and it is recommended that users upgrade to 5.13.2 or later.

遠端主機上執行的 Apache ActiveMQ 版本為比 5.13.2 舊的 5.x 版。因此，該應用程式受到多個弱點影響：

  - Web 型管理主控台中存在一個點擊劫持弱點，這是因未在 HTTP 回應中設定 X-Frame-Options 標頭所致。遠端攻擊者可加以惡意利用，誘騙使用者執行管理工作。(CVE-2016-0734)

  - Web 型管理主控台中存在多個跨網站指令碼弱點，無法正確驗證使用者提供的輸入。遠端攻擊者可惡意利用這些弱點，透過特製要求，在使用者的瀏覽器工作階段中執行任意指令碼。(CVE-2016-0782)

請注意，CVE-2016-0734 已在 5.11.4 和 5.12.3 中部分修正，方法是透過設定 Servlets 和 JSP (而非靜態內容) 的 X-Frame-Options 標頭。因此這些版本的修正不完整，建議使用者升級至 5.13.2 或更新版本。

远程主机上运行的 Apache ActiveMQ 版本为低于 5.13.2 的 5.x。因此，该服务器受到多个漏洞的影响：

  - 基于 Web 的管理控制台中存在一个点击劫持漏洞，这是因未在 HTTP 响应中设置 X-Frame-Options 标头所致。远程攻击者可利用此漏洞诱骗用户执行管理任务。(CVE-2016-0734)

  - 基于 Web 的管理控制台中存在多种跨站脚本漏洞，无法正确验证用户提供的输入。远程攻击者可利用这些漏洞，通过特别构建的请求，在用户的浏览器会话中执行任意脚本代码。(CVE-2016-0782)

请注意，CVE-2016-0734 已在 5.11.4 和 5.12.3 中进行了部分修复，方法是通过设置 Servlets 和 JSP（而非静态内容）的 X-Frame-Options 标头。因此这些版本的补丁不完整，建议用户升级到 5.13.2 或更高版本。

The version of Apache ActiveMQ running on the remote host is 5.11.x prior to 5.11.4, 5.12.x prior to 5.12.3, or 5.x prior to 5.13.1. It is, therefore, affected by multiple cross-site scripting vulnerabilities in the web-based administration console due to improper validation of user-supplied input. A remote attacker can exploit this, via a specially crafted request, to execute arbitrary script code in a user's browser session.

Vladimir Ivanov (Positive Technologies) reports :

Several instances of cross-site scripting vulnerabilities were identified to be present in the web-based administration console as well as the ability to trigger a Java memory dump into an arbitrary folder. The root cause of these issues are improper user data output validation and incorrect permissions configured on Jolokia.

リモートホストで実行中の Apache ActiveMQ のバージョンは、5.13.2 より前の 5.x です。したがって、以下の複数の脆弱性による影響を受けます。

  - HTTP レスポンスに X-Frame-Options ヘッダーが設定されないため、Web ベースの管理コンソールにクリックジャッキングの脆弱性が存在します。リモートの攻撃者がこれを悪用し、ユーザーを騙して管理者タスクを実行させる可能性があります。(CVE-2016-0734)

  - ユーザー指定の入力が適切に検証されないため、Web ベースの管理コンソールに、複数のクロスサイトスクリプティングの脆弱性が存在します。リモートの攻撃者が、特別に細工されたリクエストを通じて、これらを悪用して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。(CVE-2016-0782)

注意：X-Frame-Options ヘッダーを静的コンテンツではなくサーブレットと JSP に設定することで、CVE-2016-0734 が 5.11.4 と 5.12.3 で部分的に修正されました。これにより、これらのバージョンの修正が不完全なため、ユーザーは 5.13.2 以降にアップグレードすることを推奨します。

遠端主機上執行的 Apache ActiveMQ 版本為 5.11.4 之前的 5.11.x 版、5.12.3 之前的 5.12.x 版，或是 5.13.1 之前的 5.x 版。因此，會受到 Web 型管理主控台中的多個跨網站指令碼弱點影響，這是因為不當驗證使用者提供的輸入所導致。遠端攻擊者可加以惡意利用，透過特製的要求，在使用者的瀏覽器工作階段中執行任意指令碼。

Vladimir Ivanov (Positive Technologies) 報告：

發現 Web 型管理主控台中出現跨網站指令碼弱點的數個執行個體，以及有能力觸發 Java 記憶體轉儲存到任意資料夾。這些問題的根本原因是不當的使用者資料輸出驗證和 Jolokia 上的不正確權限組態。

远程主机上运行的 Apache ActiveMQ 版本为 5.11.4 之前的 5.11.x 版、5.12.3 之前的 5.12.x 版，或是 5.13.1 之前的 5.x 版。因此，受到基于 Web 的管理控制台中的多种跨站脚本漏洞影响，这是因为不当验证用户提供的输入所导致。远程攻击者可利用此漏洞，通过特别构建的请求，在用户浏览器会话中执行任意脚本代码。

Vladimir Ivanov (Positive Technologies) 报告：

发现基于 Web 的管理控制台中出现多个跨站脚本漏洞的实例，并能够触发 Java 内存转储到任意文件夹。这些问题的根本原因是不当的用户数据输出验证和 Jolokia 上的错误权限配置。

リモートホストで実行中の Apache ActiveMQ のバージョンは、5.11.4 より前の 5.11.x、5.12.3 より前の 5.12.x、または 5.13.1 より前の 5.x です。したがって、ユーザー指定の入力が適切に検証されないため、Web ベースの管理コンソールで複数のクロスサイトスクリプティングの脆弱性による影響を受けます。リモートの攻撃者はこれを悪用して、特別に細工されたリクエストから、ユーザーのブラウザセッションで任意のスクリプトコードを実行することができます。

Vladimir Ivanov 氏（Positive Technologies）による報告：

Web ベースの管理コンソールにおいて、任意のフォルダーに Java メモリダンプを誘発できるだけでなく、クロスサイトスクリプティングの脆弱性のいくつかのインスタンスが存在することも特定されました。これらの問題の根本的な原因は、ユーザーデータ出力の検証が不適切であり、Jolokia で構成されている許可が正しくないことです。

Versions of Apache ActiveMQ 5.x prior to 5.11.4, 5.12.3, or 5.13.2 are affected by a flaw that is due to missing 'X-Frame-Options' headers in HTTP responses.  This may potentially allow a context-dependent attacker to conduct a clickjacking attack.

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
90025	Apache ActiveMQ 5.x < 5.13.2 Multiple Vulnerabilities	Nessus	CGI abuses	2016/3/18	2024/6/6	medium
90025	Apache ActiveMQ 5.x < 5.13.2 多個弱點	Nessus	CGI abuses	2016/3/18	2024/6/6	medium
90025	Apache ActiveMQ 5.x < 5.13.2 多种漏洞	Nessus	CGI abuses	2016/3/18	2024/6/6	medium
90024	Apache ActiveMQ 5.11.x < 5.11.4 / 5.12.x < 5.12.3 / 5.13.x < 5.13.1 Web Console Multiple XSS	Nessus	CGI abuses	2016/3/18	2024/6/6	medium
90236	FreeBSD : activemq -- Web Console XSS (a6cc5753-f29e-11e5-b4a9-ac220bdcec59)	Nessus	FreeBSD Local Security Checks	2016/3/28	2021/1/4	medium
90025	Apache ActiveMQ 5.x < 5.13.2 における複数の脆弱性	Nessus	CGI abuses	2016/3/18	2024/6/6	medium
90024	Apache ActiveMQ 5.11.x < 5.11.4 / 5.12.x < 5.12.3 / 5.13.x < 5.13.1 Web 主控台多個 XSS	Nessus	CGI abuses	2016/3/18	2024/6/6	medium
90236	FreeBSD：activemq -- Web 主控台 XSS (a6cc5753-f29e-11e5-b4a9-ac220bdcec59)	Nessus	FreeBSD Local Security Checks	2016/3/28	2021/1/4	medium
90024	Apache ActiveMQ 5.11.x < 5.11.4 / 5.12.x < 5.12.3 / 5.13.x < 5.13.1 Web 控制台多种 XSS 问题	Nessus	CGI abuses	2016/3/18	2024/6/6	medium
90236	FreeBSD：activemq -- Web 控制台 XSS (a6cc5753-f29e-11e5-b4a9-ac220bdcec59)	Nessus	FreeBSD Local Security Checks	2016/3/28	2021/1/4	medium
90024	Apache ActiveMQ 5.11.x < 5.11.4 / 5.12.x < 5.12.3 / 5.13.x < 5.13.1 Web コンソールの複数の XSS	Nessus	CGI abuses	2016/3/18	2024/6/6	medium
90236	FreeBSD：activemq -- Web コンソールの XSS（a6cc5753-f29e-11e5-b4a9-ac220bdcec59）	Nessus	FreeBSD Local Security Checks	2016/3/28	2021/1/4	medium
9319	Apache ActiveMQ 5.x < 5.11.4, 5.12.x < 5.12.3, or 5.13.x < 5.13.2 XSS	Nessus Network Monitor	CGI	2016/5/24	2019/3/6	medium

检测

插件搜索

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium

medium