一、基本情况
ActiveMQ是Apache软件基金会所研发的开源消息中间件,为应用程序提供高效的、可扩展的、稳定的、安全的企业级消息通信。
二、漏洞描述
Apache ActiveMQ中存在一个未授权访问漏洞(CVE-2024-32114),该漏洞的CVSS评分为8.5。
Apache ActiveMQ 6.0.0 - 6.1.1中,由于默认配置没有对 Jolokia JMX REST API 和 Message REST API 进行身份验证,可能导致威胁者在未经身份验证的情况下使用Jolokia JMX REST API与代理交互,或使用Message REST API向消息队列或主题中发送、接收消息,以及清空、删除消息队列或主题等。
三、影响范围
Apache ActiveMQ 6.x < 6.1.2
四、修复建议
目前该漏洞已经修复,受影响用户可升级到Apache ActiveMQ 6.1.2或更高版本。
