Se ha descubierto una vulnerabilidad de severidad alta en productos Apache ActiveMQ. Un actor malicioso autenticado podría provocar comportamientos inesperados en el broker mediante el envío de paquetes malformados a través del protocolo MQTT.
Productos afectados
- Apache ActiveMQ: versiones anteriores a la 5.19.2.
- Apache ActiveMQ: versiones 6.0.0 a 6.1.8.
- Apache ActiveMQ: versión 6.2.0.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025–66168: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de desbordamiento de enteros durante la decodificación de paquetes malformados. Un actor malicioso autenticado con acceso a la red podría enviar paquetes con campos de longitud manipulados, lo que provocaría que ActiveMQ malinterprete la carga útil como múltiples paquetes de control MQTT, violando la especificación del protocolo y derivando en comportamientos inesperados.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias