Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Apache ActiveMQ Artemis (CVE-2025-27427)

Gravedad CVSS v4.0:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/04/2025
Última modificación:
02/04/2025

Descripción

Existe una vulnerabilidad en Apache ActiveMQ Artemis que permite a un usuario con el permiso createDurableQueue o createNonDurableQueue modificar el tipo de enrutamiento compatible con dicha dirección, incluso si no tiene el permiso createAddress. Al combinar esta vulnerabilidad con el permiso de envío y la creación automática de colas, un usuario podría enviar un mensaje con un tipo de enrutamiento no compatible con la dirección, cuando en realidad debería rechazarse porque el usuario no tiene permiso para cambiar el tipo de enrutamiento. Este problema afecta a Apache ActiveMQ Artemis desde la versión 2.0.0 hasta la 2.39.0. Se recomienda actualizar a la versión 2.40.0, que soluciona el problema.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 2.30 BAJA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0
2.30
Gravedad 4.0
BAJA

Referencias a soluciones, herramientas e información