Уязвимость целочисленного переполнения или обхода в Apache ActiveMQ, Apache ActiveMQ All, Apache ActiveMQ MQTT. Исправление «CVE-2025-66168: поле оставшейся длины управляющего пакета MQTT не проверено должным образом» было применено только к выпускам 5.19.2 (и будущим 5.19.x), но было пропущено для всех версий 6.0.0+. Эта проблема затрагивает Apache ActiveMQ: с версии 6.0.0 до 6.2.4; Apache ActiveMQ Все: с 6.0.0 до 6.2.4; Apache ActiveMQ MQTT: с версии 6.0.0 до версии 6.2.4.
Пользователям рекомендуется выполнить обновление до версии 6.2.4 или версии 5.19.x, начиная с 5.19.2 или новее (на данный момент последней версией является 5.19.5), что устраняет проблему.
Показать оригинальное описание (EN)
Integer Overflow or Wraparound vulnerability in Apache ActiveMQ, Apache ActiveMQ All, Apache ActiveMQ MQTT. The fix for "CVE-2025-66168: MQTT control packet remaining length field is not properly validated" was only applied to 5.19.2 (and future 5.19.x) releases but was missed for all 6.0.0+ versions. This issue affects Apache ActiveMQ: from 6.0.0 before 6.2.4; Apache ActiveMQ All: from 6.0.0 before 6.2.4; Apache ActiveMQ MQTT: from 6.0.0 before 6.2.4. Users are recommended to upgrade to version 6.2.4 or a 5.19.x version starting with 5.19.2 or later (currently latest is 5.19.5), which fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1