概要
Apache ActiveMQ Classic の Web コンソール に 含まれる Jolokia JMX-HTTP ブリッジ(/api/jolokia/)において、デフォルト の アクセスポリシー が すべて の ActiveMQ MBean に 対する exec 操作 を 許可 して いる 問題 が 存在 します。認証済み の 攻撃者 は、不正 な リクエスト を 送信 する こと で、リモート から 任意 の コード を 実行 する こと が 可能 です。
本脆弱性 は CISA KEV(Known Exploited Vulnerabilities)カタログ に 登録 されて おり、実際 の 攻撃 での 悪用 が 確認 されて います。ActiveMQ を 使用 して いる 組織 は 速やか に 対応 する 必要 が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS v3 スコア | 8.8(High) |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 必要な特権(PR) | 低(認証済み) |
| ユーザー関与(UI) | 不要 |
| 影響の範囲(S) | 変更なし |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| CWE | CWE-20(不適切な入力検証)、CWE-94(コードインジェクション) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン | 修正バージョン |
|---|---|---|---|
| Apache ActiveMQ Classic | Apache Software Foundation | 5.19.4 未満 | 5.19.4 |
| Apache ActiveMQ | Apache Software Foundation | 6.0.0〜6.2.2 | 6.2.3 |
修正バージョンと回避策
- 修正: Apache ActiveMQ 5.19.4 または 6.2.3 へアップデート
- 回避策: Webコンソールの
/api/jolokia/エンドポイントへのアクセスをネットワークレベルで制限する - 緊急対応: CISA KEV に登録されているため、米国連邦政府機関は期限内の対応が義務付けられています。その他の組織も速やかな対応を強く推奨します
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。