平台
java
组件
org.apache.activemq:activemq-client
修复版本
5.19.3
6.2.2
5.19.3
6.2.2
5.19.3
6.2.2
5.19.3
6.2.2
5.19.3
6.2.2
5.19.3
CVE-2026-33227 描述了 Apache ActiveMQ Client、Broker 和 All 中存在的 classpath 路径名验证漏洞。攻击者可以构造恶意“key”值,利用路径遍历加载任意资源。此问题影响 Apache ActiveMQ 的 0.0.0 到 6.2.2 版本。幸运的是,此问题已在 6.2.2 版本中修复。
Apache ActiveMQ的CVE-2026-33227漏洞影响了多个组件(Client、Broker、All、Web),原因是类路径路径的验证不当。经过身份验证的用户可以操纵“key”值来连接路径,从而可能访问预期类目录之外的资源。这可能允许攻击者读取敏感文件或执行恶意代码,如果可执行文件在类路径中可访问,则会发生这种情况。该漏洞的严重程度评分为CVSS 4.3,表明存在中等风险。成功利用需要身份验证,但潜在影响很大,尤其是在ActiveMQ用于传输敏感信息的环境中。
此漏洞在两个场景中表现出来:创建Stomp消费者和在Web控制台中浏览消息时。在两种情况下,攻击者都可以将特殊字符注入到“key”值中以构造恶意类路径。路径连接允许攻击者访问文件系统上的任意文件,前提是ActiveMQ进程具有必要的权限。利用的复杂性相对较低,因为它只需要身份验证以及操纵“key”值的能力。
漏洞利用状态
EPSS
0.05% (15% 百分位)
CVSS 向量
建议的解决方案是将Apache ActiveMQ升级到版本5.19.3或更高版本。此版本通过实施更严格的类路径路径验证来修复漏洞。同时,作为临时措施,请限制对Web控制台的访问,并限制经过身份验证用户的权限。重要的是,检查ActiveMQ配置,以确保未使用非标准的类路径或可能促进利用的配置。监控ActiveMQ日志以查找可疑模式也可以帮助检测利用尝试。
Actualice a la versión 5.19.4 o 6.2.3 de Apache ActiveMQ para mitigar la vulnerabilidad. En entornos Windows, asegúrese de actualizar a la versión 6.2.3 para corregir un error de resolución de separadores de ruta.
漏洞分析和关键警报直接发送到您的邮箱。
Apache ActiveMQ Client、Apache ActiveMQ Broker、Apache ActiveMQ All、Apache ActiveMQ Web和Apache ActiveMQ的5.19.3之前的版本容易受到攻击。
为了确保最大的安全性,建议将ActiveMQ的所有组件更新到版本5.19.3或更高版本。
作为临时措施,请限制对Web控制台的访问,并限制经过身份验证用户的权限。检查ActiveMQ配置并监控日志。
攻击者可能访问ActiveMQ进程可以访问的任何文件,包括配置文件、API密钥和其他敏感数据。
目前没有用于检测此漏洞利用的特定工具。监控ActiveMQ日志以查找可疑模式是最佳选择。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
上传你的 pom.xml 文件,立即知道是否受影响。