Plataforma
java
Componente
org.apache.activemq:activemq-client
Corrigido em
5.19.4
6.2.4
5.19.4
6.2.4
5.19.4
6.2.4
5.19.4
6.2.4
5.19.4
Uma vulnerabilidade de Denial of Service (DoS) foi descoberta no Apache ActiveMQ, afetando versões até 6.2.4. A falha reside no tratamento de KeyUpdates TLSv1.3 em transportes NIO SSL, permitindo que um cliente cause o esgotamento da memória do broker. A correção foi implementada na versão 6.2.4, mitigando o risco de ataques DoS.
A vulnerabilidade CVE-2026-39304 em Apache ActiveMQ Client, Apache ActiveMQ Broker e Apache ActiveMQ representa um risco de Negação de Serviço (DoS). Especificamente, os transportes NIO SSL do ActiveMQ não lidam corretamente com as atualizações de chave (KeyUpdates) do protocolo TLSv1.3 acionadas por clientes. Um atacante pode explorar esta fraqueza enviando rapidamente uma série de atualizações de chave, o que provoca o esgotamento de toda a memória do broker no motor SSL. Isso resulta em uma interrupção do serviço, impedindo que o ActiveMQ processe mensagens e responda a solicitações. A severidade CVSS é de 7.5, indicando um risco alto. É crucial atualizar para a versão 5.19.4 ou superior para mitigar esta ameaça.
Um atacante com a capacidade de estabelecer uma conexão TLSv1.3 com o broker ActiveMQ pode explorar esta vulnerabilidade. Isso poderia ser feito a partir de uma máquina dentro da mesma rede que o broker ou, se o broker estiver exposto à Internet, de qualquer local. O atacante enviaria uma sequência de solicitações que acionassem atualizações de chave TLSv1.3, sobrecarregando o motor SSL do broker. A exploração não requer autenticação, o que aumenta o risco. A facilidade de exploração, combinada com o impacto potencial de uma interrupção do serviço, torna esta vulnerabilidade uma preocupação significativa.
Organizations utilizing Apache ActiveMQ for message queuing, particularly those using TLSv1.3 for secure communication, are at risk. Environments with legacy ActiveMQ deployments running older versions (≤5.9.1) are especially vulnerable. Any system relying on ActiveMQ for critical business processes faces potential disruption if this vulnerability is exploited.
• java / server:
ps -ef | grep -i activemq | grep -v grep• java / server:
journalctl -u activemq | grep -i "KeyUpdate"• generic web:
curl -I <activemq_broker_url> | grep TLSdisclosure
patch
Status do Exploit
EPSS
0.05% (percentil 16%)
Vetor CVSS
A solução principal para abordar a CVE-2026-39304 é atualizar o Apache ActiveMQ Client, Apache ActiveMQ Broker ou Apache ActiveMQ para a versão 5.19.4 ou superior. Esta versão inclui uma correção que lida corretamente com as atualizações de chave TLSv1.3, prevenindo o esgotamento da memória. Enquanto isso, como medida temporária, recomenda-se limitar o número de conexões TLSv1.3 permitidas ao broker ou desabilitar o TLSv1.3 se não for essencial. Monitorar o uso de memória do broker ActiveMQ é fundamental para detectar possíveis ataques em andamento. Implementar regras de firewall para restringir o acesso ao broker a partir de fontes não confiáveis também pode ajudar a reduzir o risco.
Actualice a la versión 6.2.4 o 5.19.5 para mitigar la vulnerabilidad. Esta actualización corrige el manejo incorrecto de las actualizaciones de clave TLSv1.3, previniendo el agotamiento de la memoria y el posible ataque de denegación de servicio.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Todas as versões do ActiveMQ Client, ActiveMQ Broker e ActiveMQ anteriores à 5.19.4 são vulneráveis à CVE-2026-39304.
Sim, é possível implementar medidas temporárias, como limitar as conexões TLSv1.3 ou desabilitar o TLSv1.3, mas a atualização é a solução recomendada.
Um ataque bem-sucedido pode resultar em uma Negação de Serviço (DoS), impedindo que o ActiveMQ processe mensagens e responda a solicitações.
O ActiveMQ fornece métricas de uso de memória que podem ser monitoradas por meio de ferramentas de monitoramento de sistemas ou interfaces de administração do ActiveMQ.
Não, atualmente não há um KEV associado à CVE-2026-39304.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.