CRITICALCVE-2026-24457CVSS 9.1

OpenMQ の設定の安全でない解析により、リモート攻撃者が MQ Broker サーバーから任意のファイルを読み取れる可能性があります。完全な悪用により、OpenMQ のホスト OS の許可されていないファイルを読み取ることが可能です。いくつかのシナリオにおいて RCE が達成される可能性があります。

プラットフォーム

java

コンポーネント

openmq

修正版

6.5.2

AI Confidence: highNVDEPSS 0.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-24457は、Eclipse OpenMQの構成ファイル解析における脆弱性です。この脆弱性を悪用されると、リモートの攻撃者がMQ Brokerサーバーから任意のファイルを読み取ることが可能となり、機密情報の漏洩や、特定条件下でのリモートコード実行（RCE）につながる可能性があります。影響を受けるバージョンは0から6.5.1です。ベンダーは修正版のリリースを推奨しています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がOpenMQ Brokerサーバーのファイルシステムにアクセスできることを意味します。攻撃者は、設定ファイル、ログファイル、またはその他の機密情報を含むファイルを読み取ることができます。これにより、認証情報、データベース接続文字列、またはその他の機密データが漏洩する可能性があります。さらに、攻撃者はこの脆弱性を悪用して、OpenMQ Brokerサーバー上で任意のコードを実行できる可能性があります。これは、システム全体の侵害につながる可能性があります。この脆弱性は、Log4Shellのようなサプライチェーン攻撃の可能性も秘めており、広範囲な影響が懸念されます。

悪用の状況

CVE-2026-24457は、2026年3月5日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、脆弱性の深刻度から、早急な対応が必要です。CISAのKEVカタログへの登録状況は不明です。この脆弱性は、OpenMQ Brokerサーバーの機密情報を漏洩させる可能性があるため、攻撃者にとって魅力的な標的となる可能性があります。

リスク対象者翻訳中…

Organizations utilizing Eclipse OpenMQ as a messaging broker are at risk, particularly those with publicly accessible brokers or those running older, unpatched versions. Shared hosting environments where multiple users share the same OpenMQ instance are also at increased risk, as a compromise of one user's environment could potentially lead to the compromise of others.

検出手順翻訳中…

• java / server:

find /opt/eclipse/openmq/ -name 'config.xml' -print

• java / server:

ps aux | grep -i openmq

• generic web: Check OpenMQ broker logs for unusual file access attempts. Look for patterns indicating attempts to read files outside of the expected configuration directory. • generic web: Monitor network traffic to the OpenMQ broker for suspicious requests.

攻撃タイムライン

2026-03-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.26% (49% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントopenmq

ベンダーEclipse Foundation

影響範囲修正版

0 – 6.5.16.5.2

弱点分類 (CWE)

CWE-22 CWE-27

タイムライン

予約済み2026-01-23
公開日2026-03-05
更新日2026-03-06
EPSS 更新日2026-03-23

未パッチ — 公開から80日経過

緩和策と回避策

Eclipse OpenMQの脆弱性CVE-2026-24457に対する最も効果的な対策は、最新バージョンへのアップデートです。アップデートが利用できない場合は、OpenMQ Brokerのネットワークアクセスを制限し、ファイアウォールで特定のIPアドレスからのアクセスをブロックすることを検討してください。また、WAF（Web Application Firewall）を使用して、悪意のあるリクエストを検出およびブロックすることも有効です。設定ファイルのパーミッションを厳しく制限し、攻撃者がアクセスできないようにすることも重要です。アップデート後、OpenMQ Brokerのログを監視し、異常なアクティビティがないか確認してください。

修正方法

Eclipse OpenMQ を 6.5.1 以降のバージョンにアップデートしてください。これにより、設定の安全でない解析による任意のファイル読み取りの脆弱性が修正されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-24457 — 任意ファイルアクセス in Eclipse OpenMQとは何ですか？

CVE-2026-24457は、Eclipse OpenMQの構成ファイル解析における脆弱性で、リモート攻撃者が任意のファイルを読み取れる可能性があります。

CVE-2026-24457 in Eclipse OpenMQに影響を受けますか？

Eclipse OpenMQのバージョンが0から6.5.1を使用している場合、この脆弱性に影響を受ける可能性があります。

CVE-2026-24457 in Eclipse OpenMQを修正するにはどうすればよいですか？

最新バージョンへのアップデートが推奨されます。アップデートが利用できない場合は、ネットワークアクセス制限やWAFの導入を検討してください。

CVE-2026-24457は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、脆弱性の深刻度から、悪用される可能性は否定できません。

CVE-2026-24457に対するEclipseの公式アドバイザリはどこで入手できますか？

Eclipseの公式アドバイザリは、Eclipseのセキュリティページで確認できます。