Apacheは、Apache ActiveMQおよびActiveMQ Webに存在する重要度「Important」の脆弱性を2件開示しました。いずれも2026年5月31日にパッチが適用されており、CVE-2026-42253およびCVE-2026-49157として管理されています。
今回の2件の開示は、2026年にJolokia関連の深刻な脆弱性が相次いで発覚し、Apache ActiveMQへの厳しい scrutinyが続く中での発表となりました。両脆弱性は同じバージョン範囲に影響し、同一のパッチリリースで修正されています。
より深刻な最初の脆弱性であるCVE-2026-42253は、Webページ生成時における不適切な入力の中和(XSS)として分類されており、CVSS v3.1ベーススコアは8.8(High)です。
根本原因は、ActiveMQ WebコンソールAPIのMessageServletコンポーネントにあります。このコンポーネントは、入力検証を一切行わずにすべてのJMSメッセージプロパティをHTTPレスポンスヘッダーへ直接コピーしています。
このヘッダーインジェクションの攻撃経路により、クロスサイトスクリプティング(XSS)、セッションハイジャック、Webコンソール管理者へのクリックジャッキングといったクライアントサイド攻撃の連鎖が可能になります。
この脆弱性は、Vishal Shukla、pyn3rd、uname、4ra1nの4名の研究者によって独自に発見されました。pyn3rdは2026年6月1日にCVEを確認しています。
2件目の脆弱性であるCVE-2026-49157は、デフォルト権限の不正確な設定(Incorrect Default Permissions)に分類されており、CVSSスコアは同様に8.8(ベクター: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)です。
ActiveMQに同梱されているJolokia JMX-over-HTTPブリッジが、管理者に限定されるべきブローカー管理操作へのアクセスを、非管理者の低権限Webログインアカウントに許可していました。
認証済みの低権限ユーザーであれば、addQueueやremoveQueueなどの機密性の高いJolokia操作を直接呼び出し、ブローカーのメッセージルーティングインフラを操作できる状態にありました。
このデフォルト設定の誤りは、信頼できないユーザーがWebコンソールへのアクセスを共有するマルチテナント環境において、特に深刻なリスクをもたらします。
セキュリティ研究者のLeon Johnsonが、この問題の発見および責任ある開示者として認定されています。修正により厳格なJolokia認可が適用され、低権限アカウントが管理者スコープのMBean操作を呼び出せなくなりました。
年初には、AIの支援によって発見された13年前のRCE脆弱性であるCVE-2026-34197が発覚しており、認証済みの攻撃者が細工したJolokia URIを介してリモートのSpring XML設定を読み込み、ブローカーのJVM上で任意のコードを実行できることが判明していました。
その後、CISAはCVE-2026-34197を既知の悪用脆弱性(KEV)カタログに追加しました。Shadowserverの調査によると、インターネット上に公開された6,400台超のActiveMQサーバーが脆弱な状態にあることが確認されています。
Apacheは、すべての管理者に対してバージョン5.19.7または6.2.6への即時アップグレードを強く推奨しています。これらのバージョンで両脆弱性が解決されます。パッチ適用が完了するまでの間、セキュリティチームは以下の緩和策を適用してください。
ActiveMQはエンタープライズメッセージング基盤として広く導入されており、ランサムウェア運営者や初期アクセスブローカーの標的とされてきた実績があります。こうした背景を踏まえると、両CVEは一切の遅延を許さない優先パッチ適用対象として取り扱う必要があります。
翻訳元: https://cyberpress.org/critical-apache-activemq-flaw-2/
