Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-03523

Опубликовано: 11 апр. 2024
Источник: fstec
CVSS3: 8.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость конфигурации интерфейсов Jolokia JMX REST API и Message REST API программной платформы Apache ActiveMQ связана с небезопасной инициализацией ресурса в результате отсутствия процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение, изменение или удаление информации

Вендор

Apache Software Foundation

Наименование ПО

ActiveMQ

Версия ПО

от 6.0.0 до 6.1.2 (ActiveMQ)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://activemq.apache.org/components/classic/download/classic-06-01-02
Компенсирующие меры:
При невозможности установки обнолений, обновите файлы конфигурации conf.xml и jetty.xml для настройки аутентификации по умолчанию:
<bean id="securityConstraintMapping" class="org.eclipse.jetty.security.ConstraintMapping">
В <property name="constraint" ref="securityConstraint" />
В <property name="pathSpec" value="/" />
</bean>

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 84%
0.02053
Низкий

8.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redhat логотип

CVE-2024-32114

CVSS3: 7.5
redhat
почти 2 года назад

In Apache ActiveMQ 6.x, the default configuration doesn't secure the API web context (where the Jolokia JMX REST API and the Message REST API are located). It means that anyone can use these layers without any required authentication. Potentially, anyone can interact with the broker (using Jolokia JMX REST API) and/or produce/consume messages or purge/delete destinations (using the Message REST API). To mitigate, users can update the default conf/jetty.xml configuration file to add authentication requirement: <bean id="securityConstraintMapping" class="org.eclipse.jetty.security.ConstraintMapping">   <property name="constraint" ref="securityConstraint" />   <property name="pathSpec" value="/" /> </bean> Or we encourage users to upgrade to Apache ActiveMQ 6.1.2 where the default configuration has been updated with authentication by default.

nvd логотип

CVE-2024-32114

CVSS3: 8.5
nvd
почти 2 года назад

In Apache ActiveMQ 6.x, the default configuration doesn't secure the API web context (where the Jolokia JMX REST API and the Message REST API are located). It means that anyone can use these layers without any required authentication. Potentially, anyone can interact with the broker (using Jolokia JMX REST API) and/or produce/consume messages or purge/delete destinations (using the Message REST API). To mitigate, users can update the default conf/jetty.xml configuration file to add authentication requirement: <bean id="securityConstraintMapping" class="org.eclipse.jetty.security.ConstraintMapping">   <property name="constraint" ref="securityConstraint" />   <property name="pathSpec" value="/" /> </bean> Or we encourage users to upgrade to Apache ActiveMQ 6.1.2 where the default configuration has been updated with authentication by default.

debian логотип

CVE-2024-32114

CVSS3: 8.5
debian
почти 2 года назад

In Apache ActiveMQ 6.x, the default configuration doesn't secure the A ...

github логотип

GHSA-gj5m-m88j-v7c3

CVSS3: 8.8
github
почти 2 года назад

Apache ActiveMQ's default configuration doesn't secure the API web context

EPSS

Процентиль: 84%
0.02053
Низкий

8.5 High

CVSS3

7.8 High

CVSS2