Apache - CVE-2026-49877
Date de publication :
Il s'agit d'une vulnérabilité dans la configuration Jetty par défaut de la console web d’Apache ActiveMQ.
Apache ActiveMQ est un courtier de messages open source pour l’échange de messages entre applications.
Les chemins /admin/ ne sont pas limités aux comptes administrateurs. Un utilisateur authentifié avec de faibles privilèges peut accéder à des fonctionnalités réservées aux administrateurs depuis la console web.
Elle permet un contournement de la politique de sécurité et une atteinte à la confidentialité et à l’intégrité des données.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Contournement de la politique de sécurité
Exploitation
CWE-285 : Improper Authorization
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Apache ActiveMQ versions antérieures à 5.19.8
• Apache ActiveMQ versions 6.0.0 jusqu'à 6.2.6
Solutions ou recommandations
• Apache ActiveMQ versions 6.0.0 jusqu'à 6.2.6