Como já descrito noutro artigo, o ApacheMQ é uma ferramenta de gestão com base em Java que permite comunicar com vários componentes de um servidor.

A falha identificada pelo f permite que qualquer pessoa interaja com a API Jolokia JMX REST e consiga escrever uma mensagem, ler e apagar destinatários.

Isto acontece devido à configuração por defeito do Apache ActiveMQ que não protege o contexto da API, tanto na parte do Jolokia como das Mensagens. O pedido da API não requer qualquer tipo de autenticação, permitindo o acesso por parte de qualquer pessoa.

Solução

Atualizar para a versão 6.1.2

Workaround

Atualizar o ficheiro de configuração conf/jetty.xml

Atualizar o apache activemq: https://activemq.apache.org/components/classic/download/classic-05-17-00

Mais informações: https://vuldb.com/?id.262788