つみかさね

CVE-2026-40466

High(8.8)

CVE-2026-40466 — Apache ActiveMQ リモートコード実行

公開日: 2026-04-26データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Apache ActiveMQApache< 5.19.6, 6.0.0 - 6.2.4

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1Apache ActiveMQのバージョンを確認する
  2. 25.19.6または6.2.5へアップデートする
  3. 3アップデートが困難な場合、Jolokiaへのアクセス制限を実施する

影響対象

Apache ActiveMQ利用者

補足

  • -CVE-2026-34197の修正バイパスであるため、以前対応済みでも再確認が必要
CVEApache ActiveMQRCEJava

概要

Apache ActiveMQに、以前の脆弱性CVE-2026-34197の修正をバイパスするリモートコード実行脆弱性が存在します。

認証済みの攻撃者がJolokia経由でBrokerView.addNetworkConnectorまたはBrokerView.addConnectorを使用し、HTTP Discovery transportのコネクタを追加できます。悪意あるHTTPエンドポイントがVM transportを返却し、CVE-2026-34197で追加されたバリデーションをバイパスします。その後、VM transportのbrokerConfigパラメータを介してリモートのSpring XMLアプリケーションコンテキストをロードし、Runtime.exec()等のBean Factoryメソッド経由でコード実行が行われます。

CVSSベクトル

指標
CVSSスコア8.8(High)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な権限レベル低(認証必要)
CWECWE-94(コードインジェクション)

影響を受けるソフトウェア

製品ベンダー影響バージョン修正バージョン
Apache ActiveMQApache5.19.6未満5.19.6
Apache ActiveMQApache6.0.0〜6.2.5未満6.2.5

修正バージョンと回避策

  • 修正: Apache ActiveMQ 5.19.6または6.2.5へアップデート
  • 回避策: Jolokiaエンドポイントへのアクセスを信頼されたユーザーに制限、activemq-httpモジュールをクラスパスから除去

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-41044Apache ActiveMQ ブローカー名経由RCECVSS 8.8CVE-2026-34197Apache ActiveMQ 初回修正対象脆弱性CVSS 8.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-40466
Apache:https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。