Apache - CVE-2026-49877

Date de publication :

Il s'agit d'une vulnérabilité dans la configuration Jetty par défaut de la console web d’Apache ActiveMQ.

Apache ActiveMQ est un courtier de messages open source pour l’échange de messages entre applications.

Les chemins /admin/ ne sont pas limités aux comptes administrateurs. Un utilisateur authentifié avec de faibles privilèges peut accéder à des fonctionnalités réservées aux administrateurs depuis la console web.

Elle permet un contournement de la politique de sécurité et une atteinte à la confidentialité et à l’intégrité des données.

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Contournement de la politique de sécurité

Exploitation

La vulnérabilité exploitée est du type
CWE-285 : Improper Authorization

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   Apache ActiveMQ versions antérieures à 5.19.8
•   Apache ActiveMQ versions 6.0.0 jusqu'à 6.2.6

Solutions ou recommandations

•   Apache ActiveMQ versions antérieures à 5.19.8
•   Apache ActiveMQ versions 6.0.0 jusqu'à 6.2.6