В Apache ActiveMQ устранена уязвимость с избыточными правами доступа к Jolokia (CVE-2026-49157)

В популярном Java-брокере сообщений Apache ActiveMQ закрыта уязвимость CVE-2026-49157, связанная с некорректными правами доступа по умолчанию. Из-за неё аутентифицированные пользователи с низкими привилегиями могли обращаться к управляющим эндпоинтам брокера через Jolokia. Исправление вошло в версии 5.19.7 и 6.2.6.

В Apache ActiveMQ — открытом message-брокере на Java, который широко применяется для асинхронного обмена сообщениями между приложениями, — устранена уязвимость CVE-2026-49157, связанная с некорректными правами доступа по умолчанию (incorrect default permissions).

Суть проблемы в избыточно мягких настройках авторизации: аутентифицированные пользователи с низкими привилегиями сохраняли доступ к управляющим эндпоинтам брокера, доступным через Jolokia (REST-интерфейс к JMX-операциям). В результате учётные записи без административных прав могли выполнять чувствительные операции над брокером — например, создавать и удалять очереди, что обычно зарезервировано за административными ролями. Это создаёт риск повышения привилегий и несанкционированного управления брокером в средах с несколькими пользователями. Обнаружение уязвимости приписывается исследователю Леону Джонсону (Leon Johnson).

Параллельно в ActiveMQ закрыта ещё одна уязвимость — CVE-2026-42253 в компонентах Apache ActiveMQ и ActiveMQ Web. Она связана с тем, что сервлет MessageServlet в API веб-консоли копировал свойства JMS-сообщений напрямую в заголовки HTTP-ответа без проверки и санитизации. Это открывало возможность инъекции HTTP-заголовков и, как следствие, атак типа XSS и манипуляций ответом, в том числе подмены заголовков безопасности (CSP, X-Frame-Options, HSTS). В исправленных выпусках разработчики отключили и пометили устаревшим компонент MessageServlet, сократив поверхность атаки.

Обе уязвимости устранены в версиях 5.19.7 и 6.2.6; пользователям рекомендуется обновиться. CVE-2026-42253 затрагивает Apache ActiveMQ и ActiveMQ Web версий до 5.19.7, а также ветки 6.0.0–6.2.6 (не включая 6.2.6). Дополнительно администраторам стоит ограничить доступ к веб-консоли ActiveMQ доверенными сетями. Перечень исправлений публикуется на странице Security Advisories — ActiveMQ Classic.