Apache ActiveMQ の脆弱性 CVE-2026-42253/49157 が FIX:セキュリティ・メカニズム回避の恐れ

Critical Apache ActiveMQ Vulnerability Exposes Systems to Security Header Injection Attacks

2026/06/03 gbhackers — Apache が公表したのは、ActiveMQ の HTTP レスポンスヘッダ・インジェクションの脆弱性 CVE-2026-42253 と、Jolokia の認可不備による権限誤用の脆弱性 CVE-2026-49157 である。これらの脆弱性は、Apache ActiveMQ/ActiveMQ Web コンポーネントに影響するものであり、いずれも Important と評価されている。ユーザーに対して強く推奨されるのは、速やかなパッチの適用である。

CVE-2026-42253:HTTP レスポンスヘッダ・インジェクション

この脆弱性は、ActiveMQ Web コンソール API 内の MessageServlet コンポーネントに存在し、検証やサニタイズが欠如した JMS メッセージ・プロパティが、HTTP レスポンス・ヘッダーに直接コピーされることに起因する。

この安全でない動作を突く攻撃者は、任意のヘッダを注入して既存のセキュリティ制御を上書きできるため、Web コンソールが公開されている環境や、アクセスが可能な領域において深刻な攻撃ベクターとなる。

CVE-2026-42253 の悪用に成功した攻撃者は、Content-Security-Policy/Set-Cookie/Access-Control-Allow-Origin などの重要なヘッダを操作できる可能性がある。それにより引き起こされる可能性があるのは、クロスサイト・スクリプティング (XSS)/セッション・ハイジャック/キャッシュ・ポイズニング/ブラウザが強制するセキュリティ・メカニズムの回避などである。

特に、JMS メッセージが特定のコンフィグの影響を受ける場合に、セキュリティ対策が不十分なメッセージング環境では、実環境における悪用の可能性がさらに高まる。

影響を受けるバージョンは以下のとおりである。

  • Apache ActiveMQ 5.19.7 未満
  • Apache ActiveMQ 6.2.6 未満
  • Apache ActiveMQ Web 5.19.7 未満
  • Apache ActiveMQ Web 6.2.6 未満

Apache は修正済みリリースにおいて、脆弱な MessageServlet を非推奨化し、デフォルトで無効化することで、脆弱性 CVE-2026-42253 に対処している。ユーザーに対して強く推奨されるのは、バージョン 5.19.7 または 6.2.6 へアップグレードし、この脆弱性のリスクを排除することである。

CVE-2026-49157:Jolokia 認可不備による権限誤用

Jolokia 管理インターフェイスにおける、デフォルトの認可制御に影響を及ぼす、深刻な脆弱性 CVE-2026-49157 も公表された。この脆弱性を悪用する認証済みの低権限ユーザーは、ブローカー管理操作へのアクセスが可能になる

根本的な原因は、Jolokia のデフォルト認可設定が、入力に対して過度に許容的である点にある。具体的には、キューの追加/削除など機密性の高い操作への、意図しないアクセスを許可しているため、この脆弱性が悪用された場合には、不正な設定変更/メッセージング・ワークフローの妨害/エンタープライズ・メッセージング基盤の悪用などが引き起こされる可能性がある。

これら脆弱性は、Apache ActiveMQ の 5.19.7 未満および 6.2.6 未満に影響する。それにより、権限昇格やセキュリティ制御の回避が可能になるため、影響を受ける環境を運用する組織は、これらの問題を最優先事項として扱う必要がある。

CVE-2026-42253 は Vishal Shukla/pyn3rd/uname/4ra1n により発見され、CVE-2026-49157 は Leon Johnson により発見された。これらの脆弱性が浮き彫りにするのは、デフォルト・コンフィグや不十分な入力検証が、広く利用されているメッセージング・プラットフォームにおいて依然としてリスクであることだ。

組織に対して推奨されるのは、早急なアップグレード/管理インターフェイスへのアクセス制限/JMS メッセージフローの監査/Jolokia エンドポイントに対する厳格なロールベース・アクセス制御などの実施である。また、潜在的な悪用の兆候を検知するため、異常な HTTP ヘッダの挙動や、不正なブローカー操作の監視なども必要になる。

訳者後書:Apache ActiveMQ の脆弱性は、開発時の検証不足や設定が主な原因となっています。 CVE-2026-42253 は、MessageServlet が外部から入力された JMS メッセージプロパティの検証やサニタイズを行わずに、HTTP レスポンス・ヘッダーに対して、そのままコピーすることで発生します。 また、脆弱性 CVE-2026-49157 は、 Jolokia のデフォルトの認可設定が過度に許容的であり、本来は権限のない低権限ユーザーに管理者操作を許しています。ご利用のチームは、ご注意ください。よろしければ、Apache ActiveMQ での検索結果も、ご参照ください。