安全性公告 - ActiveMQ Classic

以下詳細說明 Apache ActiveMQ Classic 6.x 和 5.x 發佈版本中修復的安全性問題。

請參閱主要的安全性公告頁面，了解其他元件的詳細資訊以及報告新安全性問題等一般資訊。

• CVE-2024-32114 - Jolokia 和 REST API 在預設設定下未受到保護
• CVE-2023-46604 - 無限制的反序列化導致 ActiveMQ Classic 容易受到遠端程式碼執行 (RCE) 攻擊
• CVE-2022-41678 - Jolokia 上的反序列化漏洞，允許通過身份驗證的使用者執行遠端程式碼執行 (RCE)
• CVE-2021-26117 - ActiveMQ：LDAP 身份驗證不會在具有匿名綁定的伺服器上驗證密碼
• CVE-2020-13947 - WebConsole 中的 XSS
• CVE-2020-13920 - JMX 中間人攻擊漏洞
• CVE-2020-11998 - JMX 遠端客戶端可以執行任意程式碼
• CVE-2020-1941 - WebConsole 中的 XSS
• CVE-2019-0222 - 損壞的 MQTT 框架可能導致代理關閉
• CVE-2018-8006 - ActiveMQ Web 控制台 - 跨網站指令碼
• CVE-2018-11775 - 缺少 TLS 主機名稱驗證
• CVE-2017-15709 - 資訊洩漏
• CVE-2015-7559 - 客戶端通過關閉命令發動阻斷服務攻擊
• CVE-2016-6810 - ActiveMQ Web 控制台 - 跨網站指令碼
• CVE-2016-0734 - ActiveMQ Web 控制台 - 點擊劫持
• CVE-2016-0782 - ActiveMQ Web 控制台 - 跨網站指令碼
• CVE-2016-3088 - ActiveMQ Fileserver Web 應用程式漏洞
• CVE-2015-5254 - ActiveMQ 中不安全的反序列化
• CVE-2015-1830 - 路徑遍歷導致 ActiveMQ Classic 中未經驗證的 RCE
• CVE-2014-3576 - 遠端未經身份驗證的代理關閉 (DoS)
• CVE-2014-3600 - Apache ActiveMQ XXE 與 XPath 選擇器
• CVE-2014-3612 - ActiveMQ JAAS：LDAPLoginModule 允許空密碼驗證和萬用字元解釋
• CVE-2014-8110 - ActiveMQ Web 控制台 - 跨網站指令碼