anonhaven

CVE-2026-32642

LOW CVSS 4.0: 2,3
Обновлено 24 марта 2026
Apache
Параметр Значение
CVSS 2,3 (LOW)
Уязвимые версии 2.50.0 — 2.52.0
Устранено в версии 2.53.0
Тип уязвимости CWE-863 (Неправильная авторизация)
Поставщик Apache
Публичный эксплойт Нет

Уязвимость неправильной авторизации (CWE-863) в Apache Artemis, Apache ActiveMQ Artemis возникает, когда приложение, использующее протокол OpenWire, пытается создать непостоянную подписку на тему JMS по адресу, который не существует с аутентифицированным пользователем, который имеет разрешение «createDurableQueue», но не имеет разрешения «createAddress», и автоматическое создание адреса отключено. В этом случае будет создан временный адрес, тогда как попытка создать кратковременную подписку должна завершиться неудачей, поскольку пользователь не авторизован для создания соответствующего адреса. Когда соединение OpenWire закрывается, адрес удаляется.

Эта проблема затрагивает Apache Artemis: с 2.50.0 по 2.52.0; Apache ActiveMQ Artemis: с 2.0.0 по 2.44.0. Пользователям рекомендуется выполнить обновление до версии 2.53.0, которая устраняет проблему.

Показать оригинальное описание (EN)

Incorrect Authorization (CWE-863) vulnerability in Apache Artemis, Apache ActiveMQ Artemis exists when an application using the OpenWire protocol attempts to create a non-durable JMS topic subscription on an address that doesn't exist with an authenticated user which has the "createDurableQueue" permission but does not have the "createAddress" permission and address auto-creation is disabled. In this circumstance, a temporary address will be created whereas the attempt to create the non-durable subscription should instead fail since the user is not authorized to create the corresponding address. When the OpenWire connection is closed the address is removed. This issue affects Apache Artemis: from 2.50.0 through 2.52.0; Apache ActiveMQ Artemis: from 2.0.0 through 2.44.0. Users are recommended to upgrade to version 2.53.0, which fixes the issue.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-863 Incorrect Authorization (Неправильная авторизация)

Ссылки 2

https://lists.apache.org/thread/4wlrp31ngq2yb54sf4kjb3bl41t4xgtp
security@apache.org
http://www.openwall.com/lists/oss-security/2026/03/20/2
af854a3a-2127-422b-91ae-364da2661108
Share Post Share Share Share

Связанные уязвимости

CVE-2026-4649

Apache

5,3

CVE-2026-33308

Apache

5,9

CVE-2026-33307

Apache

7,5

CVE-2026-3533

Apache

8,8

CVE-2026-33071

Filerise

8,8