Eclipse Foundation - CVE-2026-22886

Date de publication :

Il s’agit d’une vulnérabilité dans le service de gestion imqbrokerd d’Eclipse OpenMQ. 

Eclipse OpenMQ est un broker de messagerie Java implémentant JMS et fournissant un service de gestion/administration via le démon TCP imqbrokerd.

Le produit est livré avec un compte administrateur par défaut utilisant des identifiants connus (admin/admin) et n’impose pas de changement de mot de passe lors de la première utilisation

Si ces identifiants restent inchangés et que le port du service est accessible, un attaquant peut s’authentifier et accéder aux fonctions d’administration du broker.

CVE-2026-22886

[Score CVSS v3.1 : 9.8]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Contournement de la politique de sécurité

Exploitation

La vulnérabilité exploitée est du type
CWE-1391 : Use of Weak Credentials

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

Eclipse OpenMQ toutes versions

Solutions ou recommandations

Aucun correctif/version corrigée n’est indiqué pour le moment.

Liens