重大な脆弱性CVE-2026-42253が公開され、Apache ActiveMQのユーザーに対して早急なパッチ適用が求められています。この脆弱性は、JMSメッセージプロパティが適切に処理されないことにより、HTTPレスポンスヘッダーへのインジェクションを可能にするものです。
この欠陥はApache ActiveMQとActiveMQ Webコンポーネントの両方に影響します。Apache Software Foundationによって「重要(important)」の深刻度に評価されています。
この脆弱性は、ActiveMQのWebコンソールAPI内のMessageServletコンポーネントに存在します。JMSメッセージプロパティが検証やサニタイズなしにHTTPレスポンスヘッダーへ直接コピーされることが原因です。
この安全でない動作により、攻撃者は任意のヘッダーを注入したり、既存のセキュリティ制御を上書きしたりすることが可能になります。Webコンソールが外部に公開されているか、アクセス可能な環境では、重大な攻撃ベクターとなります。
CVE-2026-42253の悪用に成功した場合、脅威アクターはContent-Security-Policy、Set-Cookie、Access-Control-Allow-OriginといったHTTPの重要なヘッダーを操作できる可能性があります。
これにより、クロスサイトスクリプティング(XSS)、セッションハイジャック、キャッシュポイズニング、またはブラウザが強制するセキュリティメカニズムの回避につながる恐れがあります。特にセキュリティが緩いメッセージング環境など、特定の構成ではJMSメッセージが操作される可能性があるため、現実の攻撃における攻撃面として十分に成立します。
この脆弱性は以下のバージョンに影響します。
- Apache ActiveMQ バージョン5.19.7未満
- Apache ActiveMQ 6.x系バージョン6.2.6未満
- Apache ActiveMQ Web バージョン5.19.7未満
- Apache ActiveMQ Web 6.x系バージョン6.2.6未満
Apacheはパッチ済みリリースにて、脆弱性のあるMessageServletを非推奨とし、デフォルトで無効化することでこの問題に対処しました。リスクを排除するため、バージョン5.19.7または6.2.6へのアップグレードが強く推奨されています。
CVE-2026-49157:Jolokia認証の不備による権限の悪用
ヘッダーインジェクションの欠陥に加え、Jolokia管理インターフェースのデフォルト認証制御に影響するもう一つの重要な脆弱性CVE-2026-49157も公開されました。
この問題により、認証済みの低権限ユーザーが、本来は管理者のみに限定されるべきブローカー管理操作へのアクセスを維持できてしまいます。
根本原因は、キューの追加・削除などの機密性の高い操作への意図しないアクセスを許可する、過度に許容的なJolokiaのデフォルト認証設定にあります。この脆弱性が悪用されると、不正な設定変更、メッセージングワークフローの中断、またはエンタープライズメッセージングインフラの悪用につながる可能性があります。
両脆弱性は、Apache ActiveMQ バージョン5.19.7未満および6.x系バージョン6.2.6未満に影響します。影響を受けるデプロイメントを使用している組織は、権限昇格やセキュリティ制御の回避の可能性を踏まえ、これらの問題を最優先で対処する必要があります。
セキュリティ研究者のVishal Shukla、pyn3rd、uname、および4ra1nがCVE-2026-42253の発見者として認定されており、Leon JohnsonがCVE-2026-49157を報告しています。彼らの調査結果は、デフォルト設定の不備や不十分な入力検証が悪用可能な脆弱性をもたらすという、広く普及したメッセージングプラットフォームに潜む継続的なリスクを改めて浮き彫りにしています。
組織には、即時アップグレード、管理インターフェースへのアクセス制限、JMSメッセージフローの監査、そしてJolokiaエンドポイントへの厳格なロールベースアクセス制御の適用が推奨されています。また、潜在的な悪用の試みを早期に検出するため、異常なHTTPヘッダーの動作や不正なブローカー操作の監視も合わせて実施することが推奨されています。
翻訳元: https://gbhackers.com/critical-activemq-vulnerability/
