Vulnerabilidad en Apache ActiveMQ (CVE-2024-32114)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

02/05/2024

Última modificación:

11/02/2025

Descripción

En Apache ActiveMQ 6.x, la configuración predeterminada no protege el contexto web de la API (donde se encuentran la API REST de Jolokia JMX y la API REST de mensajes). Significa que cualquiera puede utilizar estas capas sin necesidad de autenticación. Potencialmente, cualquiera puede interactuar con el corredor (usando la API REST de Jolokia JMX) y/o producir/consumir mensajes o purgar/eliminar destinos (usando la API REST de mensajes). Para mitigar, los usuarios pueden actualizar el archivo de configuración predeterminado conf/jetty.xml para agregar el requisito de autenticación: O recomendamos a los usuarios que actualicen a Apache ActiveMQ 6.1.2, donde la configuración predeterminada se actualizó con autenticación de forma predeterminada.

Impacto

Vector 3.x

CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.50 ALTA
Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:H

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto