Потребителите на Apache ActiveMQ се съветват спешно да обновят своите инсталации след разкриването на три важни уязвимости, излагащи инфраструктурата за съобщения на атаки за отказ на услуга (DoS), нарушена изолация и рискове от неправилна оторизация.
Проблемите, проследявани като CVE-2026-53917, CVE-2026-54475 и CVE-2026-49877, засягат основни компоненти в клоновете 5.x и 6.x и могат да доведат до срив на брокера и неоторизиран достъп, ако останат некоригирани.
CVE-2026-53917 е уязвимост от тип "Разпределяне на памет с прекомерен размер" (Memory Allocation with Excessive Size Value) в Apache ActiveMQ, Apache ActiveMQ All, Apache ActiveMQ Client и Apache ActiveMQ Broker. Недостатъкът се намира в начина, по който се десериализират (unmarshal) картите със свойства на съобщенията в OpenWire. Когато удостоверен потребител изпрати специално създадено OpenWire съобщение с много голям кодиран размер на картата, брокерът се опитва да задели памет, без да валидира размера. Тъй като няма проверка за горна граница на тези свойства, брокерът може бързо да достигне състояние на недостиг на памет (OOM), което да доведе до срив и отказ на услуга (DoS) за всички приложения, зависещи от тази инфраструктура за съобщения. Тази уязвимост засяга Apache ActiveMQ преди версия 5.19.8 и от 6.0.0 преди 6.2.7.
CVE-2026-54475 е уязвимост от тип "Липсваща оторизация" (Missing Authorization), засягаща Apache ActiveMQ Broker, Apache ActiveMQ All и Apache ActiveMQ. В ActiveMQ Classic временните дестинации са проектирани да бъдат изолирани само до връзката, която ги е създала. Тази изолация обаче е била наложена само в клиентската логика. Брокерът не е проверявал напълно собствеността, което означава, че различна връзка може да консумира съобщения от временната дестинация на друга връзка. Това нарушава очаквания модел на изолация и позволява неоторизиран достъп до преходни потоци от съобщения в споделени среди.
CVE-2026-49877 е уязвимост от тип "Неправилна оторизация" (Improper Authorization) в уеб конзолата на Apache ActiveMQ. Поради несигурна конфигурация по подразбиране на Jetty, удостоверени потребители с ниски привилегии в уеб конзолата могат по подразбиране да осъществяват достъп до административни пътища под /admin/*. Това позволява на неоторизирани акаунти да достигат до критични административни функции и да променят настройки.
Apache препоръчва на всички засегнати потребители незабавно да надградят до ActiveMQ 6.2.7 или 5.19.8. В допълнение към инсталирането на корекциите, организациите трябва да ограничат мрежовия достъп до брокерите и конзолите, да одитират ролите и разрешенията и да наблюдават за необичайно използване на паметта.