CVE-2024-32114

Apache ActiveMQ: Jolokia and REST API were not secured with default configuration

CVSS 8.5 HIGHEPSS 6.9%CWE-1188

Em resumo

As APIs web do Apache ActiveMQ (Jolokia e Message REST API) não são protegidas por padrão, permitindo que qualquer pessoa as acesse sem senha. Isso significa que atacantes podem controlar o intermediador de mensagens, enviar/receber mensagens ou deletar dados sem autorização.

Detalhe técnico

As APIs Jolokia JMX REST e Message REST API no Apache ActiveMQ 6.x carecem de controles de autenticação padrão na configuração jetty.xml. Atacantes remotos não autenticados podem invocar operações JMX arbitrárias via Jolokia ou manipular filas de mensagens (produzir, consumir, purgar, deletar destinos) via Message REST API, resultando em comprometimento do intermediador e perda de dados.

Resumo gerado e traduzido por IA a partir da descrição oficial.

In Apache ActiveMQ 6.x, the default configuration doesn't secure the API web context (where the Jolokia JMX REST API and the Message REST API are located). It means that anyone can use these layers without any required authentication. Potentially, anyone can interact with the broker (using Jolokia JMX REST API) and/or produce/consume messages or purge/delete destinations (using the Message REST API). To mitigate, users can update the default conf/jetty.xml configuration file to add authentication requirement: <bean id="securityConstraintMapping" class="org.eclipse.jetty.security.ConstraintMapping"> <property name="constraint" ref="securityConstraint" /> <property name="pathSpec" value="/" /> </bean> Or we encourage users to upgrade to Apache ActiveMQ 6.1.2 where the default configuration has been updated with authentication by default.

CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H

Produtos afetados

Apache Software Foundation · Apache ActiveMQ

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://activemq.apache.org/security-advisories.data/CVE-2024-32114-announcement.txt