メッセージブローカー「Apache ActiveMQ Artemis」に深刻な脆弱性
メッセージブローカー「Apache Artemis」「Apache ActiveMQ Artemis」に脆弱性が明らかとなった。
ブローカー間通信に用いられる「Coreプロトコル」による「Core Federation接続」の確立処理に認証が欠如している脆弱性「CVE-2026-27446」が明らかとなったもの。
細工した通信により同脆弱性を悪用することで、対象となるブローカーに対して外部のブローカーとの接続を強制することが可能。不正なブローカーを経由させることでメッセージの注入や情報の窃取などのおそれがある。
「Apache Artemis 2.51.0」から「同2.50.0」、および「Apache ActiveMQ Artemis 2.44.0」から「同2.11.0」までのバージョンが影響を受ける。
Apache Software Foundationでは、共通脆弱性評価システム「CVSSv4.0」のベーススコアを「9.3」と評価。開発チームでは脆弱性の重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。
開発チームでは、2026年3月2日に脆弱性を解消した「Apache Artemis 2.52.0」をリリース。利用者にアップデートを呼びかけている。すぐに更新できない場合は、「Coreプロトコル」の処理を無効化するか、クライアント証明書を用いた双方向SSL認証による接続を用いることなどを挙げている。
(Security NEXT - 2026/03/06 )
ツイート
PR
関連記事
「Cisco Secure Firewall」に脆弱性 - 認証回避やRCEなど深刻な影響も
キヤノン複合機向けスキャンソフトに脆弱性 - アップデートを公開
「Chrome」にアップデート - 「クリティカル」含む脆弱性10件修正
「OpenStack Vitrage」に脆弱性 - API経由でコード実行の可能性
「Langflow」にプロンプトインジェクションによるRCE脆弱性
「Apache Ranger」にRCE脆弱性 - 開発者とCISAで評価に差
「VMware Aria Operations」の脆弱性など悪用に注意喚起 - 米当局
「Android」向けパッチで脆弱性116件に対応 - 一部で悪用の兆候
「Android」に月例パッチ、脆弱性107件に対応 - 2件ですでに悪用も
HPEのライセンス管理製品に認証回避の脆弱性 - 修正版が公開
