A Apache Software Foundation corrigiu duas vulnerabilidades no ActiveMQ, incluindo a CVE-2026-42253, que permite injeção de cabeçalhos HTTP maliciosos via propriedades JMS sem validação. A falha afeta versões anteriores a 5.19.7 e 6.2.6, possibilitando ataques XSS e sequestro de sessão quando o console web fica exposto a usuários não confiáveis.
Como funciona a falha CVE-2026-42253
A vulnerabilidade reside no MessageServlet do console web do ActiveMQ. O componente copia todas as propriedades de mensagens JMS diretamente para os cabeçalhos de resposta HTTP, sem validação ou sanitização. Um atacante pode criar mensagens JMS especialmente elaboradas para injetar cabeçalhos maliciosos, sobrescrevendo proteções de segurança do navegador como Content Security Policy (CSP), X-Frame-Options e Strict-Transport-Security (HSTS). Com essas proteções desativadas, tornam-se possíveis ataques de cross-site scripting (XSS), sequestro de sessão e clickjacking.
O risco é particularmente elevado quando o console web do ActiveMQ fica acessível a usuários não autenticados ou em redes não confiáveis. Como em outras vulnerabilidades que afetam protocolos web amplamente utilizados, ambientes multi-tenant e instalações com o console exposto à internet amplificam a superfície de ataque.
Versões afetadas e correção
A Apache classificou a vulnerabilidade com severidade “importante”. As versões afetadas incluem todas as releases do ActiveMQ anteriores à 5.19.7 e as versões 6.0.0 até 6.2.5 (não inclusiva). A correção desabilitou e descontinuou o componente MessageServlet nas versões 5.19.7 e 6.2.6.
| Versão | Status | Ação recomendada |
|---|---|---|
| ActiveMQ antes de 5.19.7 | Vulnerável | Atualizar para 5.19.7+ |
| ActiveMQ 6.0.0 a 6.2.5 | Vulnerável | Atualizar para 6.2.6+ |
| ActiveMQ 5.19.7+ | Corrigido | Manter atualizado |
| ActiveMQ 6.2.6+ | Corrigido | Manter atualizado |
CVE-2026-49157 agrava riscos
Uma segunda vulnerabilidade, identificada como CVE-2026-49157, agrava o cenário. O problema está em permissões padrão excessivamente permissivas que permitem usuários autenticados com baixo privilégio acessar endpoints Jolokia de gerenciamento do broker. Na prática, esses usuários podem executar operações sensíveis como criar e deletar filas, abrindo caminho para escalação de privilégios e manipulação não autorizada do broker em ambientes multiusuário.
A combinação das duas falhas é preocupante: um atacante pode manipular o comportamento do broker enquanto enfraquece as proteções do frontend, criando um cenário de ataque encadeado similar ao que outras vulnerabilidades críticas recentes permitem com impacto amplificado.
Medidas de mitigação imediata
Administradores devem atualizar para ActiveMQ 5.19.7 ou 6.2.6 sem demora. Além da atualização, é fundamental restringir o acesso ao console web apenas a redes confiáveis, revisar permissões de usuários no Jolokia e auditar a lógica de tratamento de mensagens quanto à propagação insegura de dados controláveis pelo usuário para respostas HTTP. Se a atualização não for viável de imediato, desabilitar o MessageServlet e isolar o console web com regras de firewall reduzem a superfície de ataque como medida provisória.
A vulnerabilidade CVE-2026-42253 foi descoberta por Vishal Shukla, pyn3rd, uname e 4ra1n. A falha de permissões Jolokia (CVE-2026-49157) foi identificada por Leon Johnson. A Cyber Security Agency de Singapura emitiu o alerta AL-2026-034 sobre o problema.
Fontes
Cybersecurity News — Apache ActiveMQ Header Injection