Vulnerabilidades críticas en Apache ActiveMQ exponen a fallos de autorización


Los usuarios de Apache ActiveMQ deben actualizar sus implementaciones de manera urgente tras la divulgación de tres vulnerabilidades críticas que exponen la infraestructura de mensajería a ataques de denegación de servicio (DoS), violaciones de aislamiento y fallos de autorización. Las vulnerabilidades afectan componentes clave en las ramas 5.x y 6.x, pudiendo provocar caídas del broker y acceso no autorizado si no se corrigen.

CVE y severidad

CVE Tipo Severidad Impacto
CVE-2026-53917 Alocación de memoria con valor excesivo Crítica DoS mediante consumo de recursos
CVE-2026-54475 Falta de autorización Alta Acceso no autorizado a destinos temporales
CVE-2026-49877 Autorización inadecuada Alta Elevación de privilegios en consola web

Productos afectados

Fabricante Producto Componente Versiones afectadas
Apache Apache ActiveMQ Broker, Client, All Versiones anteriores a 5.19.8 y desde 6.0.0 hasta 6.2.6

Solución

Actualizar a Apache ActiveMQ 5.19.8 o 6.2.7.

Recomendaciones

Las organizaciones deben priorizar la actualización en un horario de mantenimiento. Además, se recomienda restringir el acceso en red a los brokers y consolas, auditar periódicamente los roles y permisos, y monitorear actividades sospechosas como uso anormal de memoria, caídas inesperadas del broker o intentos de acceso no autorizado. En entornos multiinquilino, evaluar la segmentación de redes para mitigar riesgos de filtración de datos.

Referencias