Платформа для обмена сообщениями Apache ActiveMQ, широко используемая в корпоративной инфраструктуре для маршрутизации данных между приложениями, оказалась под угрозой из-за двух опасных уязвимостей. Разработчики настоятельно рекомендуют немедленно установить исправления, поскольку обе проблемы позволяют злоумышленникам обходить механизмы безопасности и получать несанкционированный доступ к управлению брокером.
Уязвимость CVE-2026-42253
Первая и наиболее критичная уязвимость получила идентификатор CVE-2026-42253. Она связана с внедрением HTTP-заголовков ответа через неправильно обработанные свойства JMS-сообщений (формат обмена данными в системах корпоративного обмена сообщениями). Apache Software Foundation оценил степень опасности как "важную", что в их классификации соответствует высокому уровню риска.
Корень проблемы кроется в компоненте MessageServlet, который входит в состав веб-консоли управления ActiveMQ. Этот сервлет - специальный программный модуль для обработки запросов - копирует свойства входящих JMS-сообщений непосредственно в заголовки HTTP-ответов. При этом никакой проверки или очистки данных не производится. Иными словами, злоумышленник может отправить на сервер специально сформированное сообщение, свойства которого превратятся в заголовки ответа, передаваемого браузеру или другому клиенту.
Такое поведение открывает широкие возможности для атаки. Во-первых, злоумышленник может перезаписать или добавить любые HTTP-заголовки, включая жизненно важные с точки зрения безопасности. Среди них Content-Security-Policy (политика безопасности содержимого, ограничивающая загрузку скриптов), Set-Cookie (установка куки-файлов сессии) и Access-Control-Allow-Origin (правила доступа к ресурсам с других доменов). Успешная эксплуатация уязвимости может привести к межсайтовому скриптингу (XSS) - внедрению вредоносного кода на страницу, угону сессии пользователя, отравлению кэша или полному обходу механизмов защиты браузера. Особенно опасно то, что в некоторых конфигурациях, особенно при ослабленных настройках безопасности среды обмена сообщениями, злоумышленники могут влиять на содержимое JMS-сообщений, что делает атаку практичной для реального применения.
Вторая уязвимость, обозначенная как CVE-2026-49157, затрагивает механизм авторизации в интерфейсе управления Jolokia - инструменте для мониторинга и управления Java-приложениями. Проблема заключается в излишне доверительных настройках по умолчанию. Аутентифицированные пользователи с низкими привилегиями сохраняют доступ к операциям управления брокером, которые должны быть доступны только администраторам. В частности, злоумышленник может добавлять или удалять очереди сообщений, вносить несанкционированные изменения в конфигурацию и нарушать работу процессов обмена данными.
Обе уязвимости затрагивают Apache ActiveMQ версий до 5.19.7 и все версии ветки 6.x до 6.2.6. Разработчики полностью отключили уязвимый компонент MessageServlet по умолчанию в обновленных версиях, однако старые сборки остаются под ударом.
Стоит отметить, что исследователи безопасности Вишал Шукла, pyn3rd, uname и 4ra1n обнаружили и сообщили о CVE-2026-42253. Вторую проблему нашел Леон Джонсон. Их находки лишний раз подтверждают, что широко распространенные платформы корпоративного уровня часто содержат скрытые риски, связанные с настройками по умолчанию и недостаточной проверкой входящих данных.
Каковы последствия для организаций? Прежде всего, любая среда, где веб-консоль ActiveMQ доступна извне, становится легкой мишенью для атак, направленных на манипуляцию HTTP-заголовкам. Кроме того, наличие уязвимости в Jolokia означает, что даже рядовой сотрудник, получивший доступ к интерфейсу управления, может превысить свои полномочия и нанести ущерб инфраструктуре.
Рекомендации для специалистов по информационной безопасности выглядят однозначно. Обновление до версий 5.19.7 или 6.2.6 является первоочередной мерой. Параллельно необходимо ограничить доступ к управляющим интерфейсам - они ни в коем случае не должны быть доступны из глобальной сети без дополнительной аутентификации и изоляции. Также стоит провести аудит потоков JMS-сообщений на предмет подозрительной активности и внедрить строгий ролевой контроль доступа (RBAC) для конечных точек Jolokia. Мониторинг необычного поведения HTTP-заголовков и несанкционированных операций с брокером поможет своевременно обнаружить попытки эксплуатации.
В целом, обе уязвимости представляют серьезную угрозу для корпоративных инфраструктур, использующих Apache ActiveMQ как центральный элемент обмена данными. Учитывая, что многие компании разворачивают ActiveMQ в контурах, доступных извне, пренебрежение обновлением может привести к компрометации всей системы обмена сообщениями и последующей утечке данных.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-42253
- https://lists.apache.org/thread/j9vmlc410ht5f28fc98gx75jcbq62j00
- https://lists.apache.org/thread/rrcsf6s90hj4tdh89nvkko75q5505rj8
