CVE-2026-49877
WysokieCVSS 8.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 40 — wyżej niż 40% wszystkich znanych CVE
Streszczenie
W Apache ActiveMQ wykryto podatność polegającą na nieprawidłowej autoryzacji. Domyślnie uwierzytelniony użytkownik z niskimi uprawnieniami może uzyskać dostęp do ścieżek /admin/* w konsoli WWW, co powinno być zarezerwowane tylko dla administratorów. Problem wynika z błędnej konfiguracji Jetty.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowany dostęp do panelu administracyjnego przez zwykłych użytkowników, co może prowadzić do eskalacji uprawnień i przejęcia kontroli nad brokerem komunikatów.
Rekomendacja
Należy niezwłocznie zaktualizować Apache ActiveMQ do wersji 5.19.8 lub 6.2.7, które usuwają tę podatność.
Oryginalny opis (angielski, źródło NVD)
Improper Authorization vulnerability in Apache ActiveMQ. An authenticated low-privilege Web Console user by default can access /admin/* paths in the Web Console. The default Jetty settings incorrectly did not limit those paths to only admins. This issue affects Apache ActiveMQ: before 5.19.8, from 6.0.0 before 6.2.7. Users are recommended to upgrade to version 6.2.7 or 5.19.8, which fixes the issue.

