安全公告 - ActiveMQ Classic

以下是 Apache ActiveMQ Classic 6.x 和 5.x 发布版本中修复的安全问题的详细信息。

有关其他组件和报告新安全问题的通用信息，请参阅主要安全公告页面。

• CVE-2024-32114 - Jolokia 和 REST API 在默认配置下未经保护
• CVE-2023-46604 - 无界反序列化导致 ActiveMQ Classic 易受远程代码执行 (RCE) 攻击
• CVE-2022-41678 - Jolokia 上的反序列化漏洞，允许经过身份验证的用户执行远程代码执行 (RCE)
• CVE-2021-26117 - ActiveMQ：LDAP 身份验证在具有匿名绑定的服务器上不验证密码
• CVE-2020-13947 - WebConsole 中的 XSS
• CVE-2020-13920 - JMX MITM 漏洞
• CVE-2020-11998 - JMX 远程客户端可能执行任意代码
• CVE-2020-1941 - WebConsole 中的 XSS
• CVE-2019-0222 - 损坏的 MQTT 帧会导致代理关闭
• CVE-2018-8006 - ActiveMQ Web Console - 跨站点脚本
• CVE-2018-11775 - 缺少 TLS 主机名验证
• CVE-2017-15709 - 信息泄露
• CVE-2015-7559 - 通过关闭命令在客户端中进行 DoS
• CVE-2016-6810 - ActiveMQ Web Console - 跨站点脚本
• CVE-2016-0734 - ActiveMQ Web Console - 点击劫持
• CVE-2016-0782 - ActiveMQ Web Console - 跨站点脚本
• CVE-2016-3088 - ActiveMQ Fileserver Web 应用程序漏洞
• CVE-2015-5254 - ActiveMQ 中的不安全反序列化
• CVE-2015-1830 - 导致 ActiveMQ Classic 中的未经身份验证的 RCE 的路径遍历
• CVE-2014-3576 - 远程未经身份验证的代理关闭 (DoS)
• CVE-2014-3600 - 使用 XPath 选择器的 Apache ActiveMQ XXE
• CVE-2014-3612 - ActiveMQ JAAS：LDAPLoginModule 允许空密码身份验证和通配符解释
• CVE-2014-8110 - ActiveMQ Web Console - 跨站点脚本