一、漏洞详情

Apache ActiveMQ 是最流行的开源、多协议、基于 Java 的消息代理。

近日，监测到一则 Apache ActiveM Q 组件存在未授权访问漏洞（CVE-2024-32114）。由于 ActiveMQ 未对 Jolokia JMX REST API 和 Message RES T API 添加身份校验，未授权的攻击者可利用暴露通过 Jolokia JMX REST API 与消息代理进行交互，或者使用 Message REST API 发送和接收消息，最终导致敏感信息泄露和数据受损。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

6.0.0 ≤ Apache ActiveMQ < 6.1.2

三、修复建议

目前该漏洞已修复，受影响用户可升级到以下版本：

Apache ActiveMQ ≥6.1.3