
Los usuarios de Apache ActiveMQ deben actualizar sus implementaciones de manera urgente tras la divulgación de tres vulnerabilidades críticas que exponen la infraestructura de mensajería a ataques de denegación de servicio (DoS), violaciones de aislamiento y fallos de autorización. Las vulnerabilidades afectan componentes clave en las ramas 5.x y 6.x, pudiendo provocar caídas del broker y acceso no autorizado si no se corrigen.
CVE y severidad
| CVE | Tipo | Severidad | Impacto |
|---|---|---|---|
| CVE-2026-53917 | Alocación de memoria con valor excesivo | Crítica | DoS mediante consumo de recursos |
| CVE-2026-54475 | Falta de autorización | Alta | Acceso no autorizado a destinos temporales |
| CVE-2026-49877 | Autorización inadecuada | Alta | Elevación de privilegios en consola web |
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas |
|---|---|---|---|
| Apache | Apache ActiveMQ | Broker, Client, All | Versiones anteriores a 5.19.8 y desde 6.0.0 hasta 6.2.6 |
Solución
Actualizar a Apache ActiveMQ 5.19.8 o 6.2.7.
Recomendaciones
Las organizaciones deben priorizar la actualización en un horario de mantenimiento. Además, se recomienda restringir el acceso en red a los brokers y consolas, auditar periódicamente los roles y permisos, y monitorear actividades sospechosas como uso anormal de memoria, caídas inesperadas del broker o intentos de acceso no autorizado. En entornos multiinquilino, evaluar la segmentación de redes para mitigar riesgos de filtración de datos.
