Katalog CVE

CVE-2026-40914

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.62%

Percentyl 45 - wyżej niż 45% wszystkich znanych CVE

Streszczenie

W Apache Artemis występuje podatność, która pozwala użytkownikom z uprawnieniami do wysyłania lub odbierania wiadomości na adresie, na modyfikację typu routingu tego adresu, mimo braku uprawnienia do jego tworzenia. Użytkownicy mogą wysyłać lub odbierać wiadomości z nieobsługiwanym typem routingu, co powinno być odrzucane.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowane operacje na adresach, co może prowadzić do nieprzewidzianych zachowań aplikacji oraz potencjalnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do wersji 2.54.0, która naprawia tę podatność.

Oryginalny opis (angielski, źródło NVD)

A vulnerability exists in Apache Artemis whereby an application using the STOMP protocol with security credentials that grant either the consume or send permission on an address can augment the routing-type supported by that address even if said user doesn't have the createAddress permission for that particular address. A user could successfully send a message to an address or consume a message from a queue with a routing-type not supported by the corresponding address when that operation should actually be rejected on the basis that the user doesn't have permission to change the routing-type of the address. Even though the user was already granted permission to send and/or consume messages, they should not be able to augment the routing-type of the address without the createAddress permission. This issue affects Apache Artemis: from 2.50.0 through 2.53.0; Apache ActiveMQ Artemis: from 2.0.0 through 2.44.0. Users are recommended to upgrade to version 2.54.0, which fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS