Luka o powadze 8.8 w skali CVSS (Common Vulnerability Scoring System — skala 0-10 oceniająca powagę luki) pozwala na zdalne wykonanie kodu w popularnym brokerze wiadomości Apache ActiveMQ [cve.cvss]. Problem, oznaczony jako CVE-2026-45505 (Common Vulnerabilities and Exposures, identyfikator publicznie znanej luki), omija wcześniejsze zabezpieczenia i wymaga natychmiastowej reakcji administratorów [cve.id]. Dotyczy to również wielu polskich firm z sektora logistyki i e-commerce, gdzie ActiveMQ jest często kluczowym elementem architektury systemów rozproszonych.

Zaobserwowaliśmy, że podatność wynika z nieprawidłowej walidacji danych wejściowych, co prowadzi do możliwości wstrzyknięcia kodu 1. Atakujący, który posiada już dostęp do sieci z instancją ActiveMQ i ważne poświadczenia, może przejąć pełną kontrolę nad serwerem, na którym działa usługa.

TL;DR

  • Produkt: Apache ActiveMQ, Apache ActiveMQ Broker, Apache ActiveMQ All 1.
  • Wektor: Uwierzytelniony atak przez endpoint Jolokia JMX-HTTP 2 3, prowadzący do zdalnego wykonania kodu (RCE — Remote Code Execution, zdalne wykonanie kodu na komputerze ofiary) 4.
  • CVE-ID: CVE-2026-45505 [cve.id].
  • Wskaźniki kompromitacji: Brak klasycznych IoC (Indicators of Compromise — wskaźniki kompromitacji). Kluczowa jest weryfikacja wersji oprogramowania.
  • Kogo dotyczy: Użytkownicy wersji Apache ActiveMQ starszych niż 5.19.7 oraz w gałęzi 6.x starszych niż 6.2.6 5 6 7.
  • Pierwszy ruch: Weryfikacja wersji i aktualizacja do 5.19.7 lub 6.2.6 8.

Wektor ataku

Podatność CVE-2026-45505 jest klasyfikowana jako nieprawidłowa walidacja danych wejściowych, która umożliwia wstrzyknięcie kodu 1. Co istotne, mechanizm ataku stanowi obejście wcześniejszej poprawki wprowadzonej w odpowiedzi na lukę CVE-2026-34197 9. Oznacza to, że systemy zaktualizowane w celu ochrony przed poprzednią podatnością mogą być ponownie zagrożone.

Łańcuch ataku przebiega następująco:

  1. Punkt wejścia: Apache ActiveMQ domyślnie udostępnia mostek Jolokia JMX-HTTP pod adresem /api/jolokia/ w swojej konsoli webowej 2. Interfejs ten służy do zarządzania i monitorowania brokera przez protokół HTTP.
  2. Nadmierne uprawnienia: Domyślna polityka dostępu Jolokia jest zbyt liberalna. Zezwala na wykonywanie operacji exec na wszystkich obiektach MBean (Managed Beans) ActiveMQ, w tym na metodach addNetworkConnector i addConnector 3.
  3. Spreparowane zapytanie: Uwierzytelniony atakujący może wysłać do endpointu Jolokia specjalnie przygotowany URI (Uniform Resource Identifier) 10.
  4. Uruchomienie parametru: URI ten aktywuje parametr brokerConfig w transporterze VM (Virtual Machine) 10.
  5. Załadowanie zdalnego XML: Broker zostaje zmuszony do załadowania zdalnego kontekstu aplikacji Spring z lokalizacji kontrolowanej przez atakującego 10.
  6. Wykonanie kodu: Ponieważ biblioteka ResourceXmlApplicationContext Springa tworzy wszystkie obiekty przed walidacją konfiguracji przez usługę brokera, dochodzi do wykonania dowolnego kodu na maszynie wirtualnej Javy (JVM) serwera 4. Atakujący może w tym celu użyć metod fabryki beanów, takich jak Runtime.exec(), zdefiniowanych w złośliwym pliku XML.

Skutkiem udanego ataku jest pełne przejęcie procesu ActiveMQ, co może prowadzić do kradzieży danych, dalszych ataków wewnątrz sieci (lateral movement) lub instalacji trwałego backdoora.

Wskaźniki kompromitacji

Ponieważ jest to opis podatności, a nie konkretnej kampanii, nie istnieją uniwersalne wskaźniki kompromitacji, takie jak hashe plików czy adresy IP serwerów C2 (Command and Control — serwer kontrolujący zainfekowane maszyny). Głównym wskaźnikiem ryzyka jest posiadanie podatnej wersji oprogramowania.

Zaleca się przeszukanie logów dostępowych serwera WWW dla konsoli ActiveMQ w poszukiwaniu nietypowych lub podejrzanych żądań do endpointu /api/jolokia/ 2. Należy jednak pamiętać, że zaawansowany operator może próbować zacierać ślady swojej aktywności.

Podatne wersje oprogramowania to:

  • Apache ActiveMQ Broker: wszystkie wersje przed 5.19.7 oraz wersje od 6.0.0 do 6.2.5 5.
  • Apache ActiveMQ All: wszystkie wersje przed 5.19.7 oraz wersje od 6.0.0 do 6.2.5 6.
  • Apache ActiveMQ: wszystkie wersje przed 5.19.7 oraz wersje od 6.0.0 do 6.2.5 7.

Co zrobić w 24-48h

Rekomendowane podejście zakłada natychmiastowe działanie w celu ograniczenia ryzyka. Poniższe kroki nie zastępują pełnego audytu bezpieczeństwa, ale stanowią pierwszą linię obrony.

  1. Identyfikacja i aktualizacja (Priorytet 1):

    • Należy przeprowadzić pilny audyt infrastruktury w celu zidentyfikowania wszystkich instancji Apache ActiveMQ. Dotyczy to zarówno środowisk produkcyjnych, jak i deweloperskich czy testowych.
    • Wszystkie zidentyfikowane instancje należy niezwłocznie zaktualizować do wersji 5.19.7 lub 6.2.6, które zawierają poprawkę usuwającą podatność 8.

  2. Mitigacja (jeśli aktualizacja jest niemożliwa):

    • Jeżeli natychmiastowa aktualizacja nie jest możliwa, należy ograniczyć ryzyko poprzez odcięcie wektora ataku. Należy zablokować dostęp sieciowy do konsoli webowej ActiveMQ, a w szczególności do endpointu /api/jolokia/ 2, z publicznego internetu i niezaufanych segmentów sieci. Dostęp powinien być ograniczony wyłącznie do hostów administracyjnych.
    • Warto również rozważyć modyfikację pliku jolokia-access.xml, aby zawęzić domyślną, zbyt liberalną politykę dostępu 3.

  3. Analiza po fakcie:

    • Przeanalizować logi dostępowe w poszukiwaniu prób wykorzystania luki. Broker wiadomości ActiveMQ jest popularnym rozwiązaniem w polskim sektorze MŚP, szczególnie w branżach e-commerce, logistyce i finansach, gdzie służy do integracji systemów. Naruszenie bezpieczeństwa tego centralnego elementu może prowadzić do paraliżu operacyjnego. Dla podmiotów objętych dyrektywą NIS2 (unijna dyrektywa o bezpieczeństwie sieci), utrzymywanie niezałatanej luki o tak wysokiej powadze może zostać uznane za niedochowanie należytej staranności w zarządzaniu ryzykiem.

Źródła

Zobacz też

Footnotes

  1. Luka CVE-2026-45505 dotyczy nieprawidłowej walidacji danych wejściowych oraz nieprawidłowej kontroli generowania kodu (wstrzyknięcie kodu) w Apache ActiveMQ Broker, Apache ActiveMQ All i Apache ActiveMQ. — https://nvd.nist.gov/vuln/detail/CVE-2026-45505 2 3

  2. Apache ActiveMQ udostępnia mostek Jolokia JMX-HTTP pod adresem /api/jolokia/ w konsoli internetowej. — https://nvd.nist.gov/vuln/detail/CVE-2026-45505 2 3 4

  3. Domyślna polityka dostępu Jolokia zezwala na operacje exec na wszystkich MBeanach ActiveMQ (org.apache.activemq:*), w tym BrokerService.addNetworkConnector(String) i BrokerService.addConnector(String). — https://nvd.nist.gov/vuln/detail/CVE-2026-45505 2 3

  4. Ponieważ ResourceXmlApplicationContext Springa tworzy wszystkie obiekty singleton przed walidacją konfiguracji przez BrokerService, dochodzi do arbitralnego wykonania kodu na JVM brokera poprzez metody fabryki beanów, takie jak Runtime.exec(). — https://nvd.nist.gov/vuln/detail/CVE-2026-45505 2

  5. Problem dotyczy Apache ActiveMQ Broker w wersjach przed 5.19.7 oraz od 6.0.0 przed 6.2.6. — https://nvd.nist.gov/vuln/detail/CVE-2026-45505 2

  6. Problem dotyczy Apache ActiveMQ All w wersjach przed 5.19.7 oraz od 6.0.0 przed 6.2.6. — https://nvd.nist.gov/vuln/detail/CVE-2026-45505 2

  7. Problem dotyczy Apache ActiveMQ w wersjach przed 5.19.7 oraz od 6.0.0 przed 6.2.6. — https://nvd.nist.gov/vuln/detail/CVE-2026-45505 2

  8. Zaleca się użytkownikom aktualizację do wersji 5.19.7 lub 6.2.6, co rozwiązuje problem. — https://nvd.nist.gov/vuln/detail/CVE-2026-45505 2

  9. Nieobjęte nawiasami wrappery wykrywania, takie jak masterslave:vm://...,... i static:vm://..., niepoprawnie przechodzą walidację, co pozwala na obejście poprawki z CVE-2026-34197. — https://nvd.nist.gov/vuln/detail/CVE-2026-45505

  10. Uwierzytelniony atakujący może wywołać te operacje za pomocą spreparowanego URI wykrywania, które uruchamia parametr brokerConfig transportu VM w celu załadowania zdalnego kontekstu aplikacji Spring XML przy użyciu ResourceXmlApplicationContext. — https://nvd.nist.gov/vuln/detail/CVE-2026-45505 2 3