Platform
java
Component
org.apache.activemq:activemq-client
Opgelost in
5.19.3
6.2.2
5.19.3
6.2.2
5.19.3
6.2.2
5.19.3
6.2.2
5.19.3
6.2.2
5.19.3
CVE-2026-33227 beschrijft een kwetsbaarheid met betrekking tot de classpath path name validatie in Apache ActiveMQ. Een geauthenticeerde gebruiker kan de classpath doorlopen door een crafted 'key' waarde te gebruiken, wat kan leiden tot het laden van onbedoelde resources. Deze kwetsbaarheid treft Apache ActiveMQ Client en Broker versies van 0.0.0 tot en met 6.2.2, en is verholpen in versie 6.2.2.
CVE-2026-33227 in Apache ActiveMQ beïnvloedt verschillende componenten (Client, Broker, All, Web) als gevolg van een onjuiste validatie van het classpath-pad. Een geauthenticeerde gebruiker kan de 'key'-waarde manipuleren om paden te concatenen, waardoor mogelijk toegang wordt verkregen tot resources buiten de verwachte klassenmap. Dit kan een aanvaller in staat stellen gevoelige bestanden te lezen of kwaadaardige code uit te voeren als uitvoerbare bestanden toegankelijk zijn binnen de classpath. De ernst van de kwetsbaarheid wordt beoordeeld als CVSS 4.3, wat een matig risico aangeeft. Een succesvolle exploitatie vereist authenticatie, maar de potentiële impact is aanzienlijk, vooral in omgevingen waar ActiveMQ wordt gebruikt om gevoelige informatie over te dragen.
De kwetsbaarheid manifesteert zich in twee scenario's: bij het maken van een Stomp-consument en bij het bekijken van berichten in de webconsole. In beide gevallen kan een aanvaller speciale tekens in de 'key'-waarde injecteren om een kwaadaardig classpath-pad te construeren. Padconcatenatie stelt de aanvaller in staat om toegang te krijgen tot willekeurige bestanden op het bestandssysteem, op voorwaarde dat het ActiveMQ-proces de vereiste machtigingen heeft. De complexiteit van de exploitatie is relatief laag, aangezien deze slechts authenticatie en de mogelijkheid vereist om de 'key'-waarde te manipuleren.
Exploit Status
EPSS
0.05% (15% percentiel)
CVSS-vector
De aanbevolen oplossing is om te upgraden naar versie 5.19.3 of hoger van Apache ActiveMQ. Deze versie corrigeert de kwetsbaarheid door een striktere validatie van de classpath-paden te implementeren. In de tussentijd, als tijdelijke maatregel, moet u de toegang tot de webconsole beperken en de privileges van geauthenticeerde gebruikers beperken. Het is cruciaal om de ActiveMQ-configuratie te bekijken om ervoor te zorgen dat er geen niet-standaard classpath-paden of configuraties worden gebruikt die de exploitatie kunnen vergemakkelijken. Het monitoren van ActiveMQ-logboeken op verdachte patronen kan ook helpen bij het detecteren van exploitatiepogingen.
Actualice a la versión 5.19.4 o 6.2.3 de Apache ActiveMQ para mitigar la vulnerabilidad. En entornos Windows, asegúrese de actualizar a la versión 6.2.3 para corregir un error de resolución de separadores de ruta.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Versies vóór 5.19.3 van Apache ActiveMQ Client, Apache ActiveMQ Broker, Apache ActiveMQ All, Apache ActiveMQ Web en Apache ActiveMQ zijn kwetsbaar.
Het wordt aanbevolen om alle ActiveMQ-componenten bij te werken naar versie 5.19.3 of hoger om maximale veiligheid te garanderen.
Als tijdelijke maatregel moet u de toegang tot de webconsole beperken en de privileges van geauthenticeerde gebruikers beperken. Bekijk de ActiveMQ-configuratie en monitor de logboeken.
Een aanvaller kan mogelijk toegang krijgen tot elk bestand waar het ActiveMQ-proces toegang toe heeft, inclusief configuratiebestanden, API-sleutels en andere gevoelige gegevens.
Momenteel zijn er geen specifieke tools om de exploitatie van deze kwetsbaarheid te detecteren. Het monitoren van ActiveMQ-logboeken op verdachte patronen is de beste optie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.