CVE-2026-50734
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 52 — wyżej niż 52% wszystkich znanych CVE
Streszczenie
Podatność w Apache ActiveMQ pozwala nieuwierzytelnionemu atakującemu na zdalne spowodowanie odmowy usługi (DoS) brokera poprzez wysłanie spreparowanej ramki WireFormatInfo z złośliwie dużą wartością rozmiaru. Brak walidacji tej wartości prowadzi do próby alokacji pamięci podczas negocjacji przed uwierzytelnieniem, co może wywołać przepełnienie pamięci (OOM) i crash brokera.
Ocena ryzyka
Atakujący może doprowadzić do niedostępności brokera ActiveMQ, co zakłóci działanie systemów korzystających z kolejkowania komunikatów, potencjalnie paraliżując krytyczne procesy biznesowe.
Rekomendacja
Należy niezwłocznie zaktualizować Apache ActiveMQ do wersji 5.19.8 lub 6.2.7, które zawierają poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
Memory Allocation with Excessive Size Value vulnerability in Apache ActiveMQ Client, Apache ActiveMQ, Apache ActiveMQ All. An unauthenticated network attacker can cause a broker DoS by sending a crafted WireFormatInfo frame with a malicious large size value. The value is not validate and causes the broker to attempt allocation during pre-auth negotiation which can trigger OOM and crash the broker. This issue affects Apache ActiveMQ Client: before 5.19.8, from 6.0.0 before 6.2.7; Apache ActiveMQ: before 5.19.8, from 6.0.0 before 6.2.7; Apache ActiveMQ All: before 5.19.8, from 6.0.0 before 6.2.7. Users are recommended to upgrade to version 6.2.7 or 5.19.8, which fixes the issue.

