MEDIUMCVE-2026-33227CVSS 4.3

Apache ActiveMQ: クラスパス名の不適切な検証と制限

プラットフォーム

java

コンポーネント

org.apache.activemq:activemq-client

修正版

5.19.3

6.2.2

5.19.3

6.2.2

5.19.3

6.2.2

5.19.3

6.2.2

5.19.3

6.2.2

5.19.3

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年4月

NVDで見る

保存

あなたの言語に翻訳中…

CVE-2026-33227 describes an improper validation and restriction of classpath path names vulnerability affecting Apache ActiveMQ Client, Apache ActiveMQ Broker, Apache ActiveMQ All, Apache ActiveMQ Web, and Apache ActiveMQ. This flaw allows an authenticated user to potentially load arbitrary resources by manipulating the "key" value during Stomp consumer creation or browsing messages in the Web console, leading to a classpath resource loading vulnerability. The vulnerability impacts versions up to 5.9.1, and a patch is available in version 5.19.3.

影響と攻撃シナリオ

Apache ActiveMQのCVE-2026-33227は、クラスパスのパスの不適切な検証が原因で、いくつかのコンポーネント（Client、Broker、All、Web）に影響を与えます。認証されたユーザーは、'key'値を操作してパスを連結し、予期されるクラスディレクトリ外のリソースにアクセスする可能性があります。これにより、攻撃者は実行可能ファイルがクラスパス内にアクセス可能な場合に、機密ファイルを読み取ったり、悪意のあるコードを実行したりする可能性があります。この脆弱性の深刻度はCVSS 4.3と評価されており、中程度のリスクを示しています。攻撃の成功には認証が必要ですが、潜在的な影響は大きく、特にActiveMQが機密情報を送信するために使用される環境において重要です。

悪用の状況

この脆弱性は、Stompコンシューマーの作成時とWebコンソールでメッセージを閲覧する際の2つのシナリオで発生します。どちらの場合も、攻撃者は'key'値に特殊文字を挿入して、悪意のあるクラスパスを作成できます。パス連結により、攻撃者はActiveMQプロセスに必要な権限があることを条件に、ファイルシステム上の任意のファイルにアクセスできます。悪用の複雑さは比較的低く、認証と'key'値の操作能力のみが必要です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.05% (15% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントorg.apache.activemq:activemq-client

ベンダーosv

影響範囲修正版

0 – 5.19.35.19.3

6.0.0 – 6.2.26.2.2

0 – 5.19.35.19.3

6.0.0 – 6.2.26.2.2

0 – 5.19.35.19.3

6.0.0 – 6.2.26.2.2

0 – 5.19.35.19.3

6.0.0 – 6.2.26.2.2

0 – 5.19.35.19.3

6.0.0 – 6.2.26.2.2

—5.19.3

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-03-18
公開日2026-04-07
更新日2026-04-09
EPSS 更新日2026-04-14

緩和策と回避策

推奨される解決策は、Apache ActiveMQをバージョン5.19.3以降にアップグレードすることです。このバージョンは、クラスパスパスの検証を厳格に実装することにより、脆弱性を修正します。その間、一時的な措置として、Webコンソールへのアクセスを制限し、認証されたユーザーの権限を制限してください。ActiveMQの設定を確認して、非標準のクラスパスや、悪用を容易にする可能性のある構成を使用していないことを確認することが重要です。ActiveMQログを疑わしいパターンで監視することも、悪用試行を検出するのに役立ちます。

修正方法翻訳中…

Actualice a la versión 5.19.4 o 6.2.3 de Apache ActiveMQ para mitigar la vulnerabilidad. En entornos Windows, asegúrese de actualizar a la versión 6.2.3 para corregir un error de resolución de separadores de ruta.