CVE-2026-53916
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 52 — wyżej niż 52% wszystkich znanych CVE
Streszczenie
Podatność w Apache ActiveMQ pozwala nieuwierzytelnionemu klientowi na wysłanie przez STOMP NIO nagłówków, które nigdy się nie kończą, co powoduje nieograniczone buforowanie przez brokera i wyczerpanie sterty JVM.
Ocena ryzyka
Atak może doprowadzić do wyczerpania pamięci JVM i odmowy usługi (DoS), co wpływa na dostępność systemów korzystających z ActiveMQ.
Rekomendacja
Należy niezwłocznie zaktualizować Apache ActiveMQ do wersji 5.19.8 lub 6.2.7, które zawierają poprawkę.
Oryginalny opis (angielski, źródło NVD)
Memory Allocation with Excessive Size Value vulnerability in Apache ActiveMQ, Apache ActiveMQ All, Apache ActiveMQ Stomp. An unauthenticated client that opens a STOMP NIO connection can send header bytes that never terminate which makes the broker buffer them without limit, exhausting the JVM heap. This issue affects Apache ActiveMQ: before 5.19.8, from 6.0.0 before 6.2.7; Apache ActiveMQ All: before 5.19.8, from 6.0.0 before 6.2.7; Apache ActiveMQ Stomp: before 5.19.8, from 6.0.0 before 6.2.7. Users are recommended to upgrade to version 6.2.7 or 5.19.8, which fixes the issue.

