Apache ActiveMQ Artemis opravuje 1 zraniteľnosť

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] Apache ActiveMQ Artemis opravuje 1 zraniteľnosť

Apache verziou 2.40 opravuje zraniteľnosť v produkte ActiveMQ Artemis [1].

Apache ActiveMQ Artemis - message smuggling (CVE-2025-27427)

Autentizovanému vzdialenému útočníkovi s právami "createDurableQueue", "createNonDurableQueue" a "send" je umožnené obeti útoku zasielať správy s odlišným smerovacím typom, než bolo pôvodne zamýšľané. Zraniteľnosť je zneužiteľná iba v prípade, že je povolené automatické vytváranie front [1].

Zraniteľnosť sa nachádza v produkte Apache ActiveMQ Artemis vo verziách >=2.0 AND <2.40.

Viac informácií:

CVE-2025-27427 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-284: Improper Access Control at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 31. 3. 2025.

Odkazy

[1] https://lists.apache.org/thread/gz5nst3gnhqwjs84vxrcp22t34lx6wkx

Za CESNET-CERTS Martin Krajči dňa 1. 4. 2025.

Zpětná vazba k reportu

[TLP:CLEAR] Apache ActiveMQ Artemis opravuje 1 zraniteľnosť

Apache ActiveMQ Artemis - message smuggling (CVE-2025-27427)

Odkazy