Kritische Sicherheitslücke in Apache ActiveMQ ermöglicht bösartige Header-Injektionen

Der Fehler geht auf die MessageServlet in der ActiveMQ-Web-Konsolen-API zurück, die alle Java Message Service (JMS)-Nachrichtenattribute direkt in HTTP-Antwort-Header kopiert, ohne Validierung oder Bereinigung durchzuführen.

Dieses Verhalten schafft eine gefährliche Angriffsfläche, die Gegnern ermöglicht, JMS-Nachrichten mit bösartigen Header-Werten zu konstruieren, was zu einer HTTP-Antwort-Header-Injektion führt.

Da HTTP-Header eine entscheidende Rolle bei der Durchsetzung browserseitiger Sicherheitsmechanismen wie Content Security Policy (CSP), X-Frame-Options und Strict-Transport-Security (HSTS) spielen, können Angreifer diese Schwachstelle ausnutzen, Header zu überschreiben oder einzufügen und Sicherheitsmaßnahmen zu schwächen.

Sicherheitslage und Risiko

Apache ActiveMQ-Schwachstelle In realen Szenarien könnte dies Angriffe wie Cross-Site-Scripting (XSS), Session-Hijacking oder Clickjacking ermöglichen, insbesondere wenn die ActiveMQ-Webkonsole für nicht vertrauenswürdige Benutzer zugänglich ist oder Unternehmensworkflows integriert ist.

Die Schwachstelle betrifft Apache ActiveMQ-Versionen vor 5.19.7 sowie Versionen von 6.0.0 bis einschließlich 6.2.6 (nicht inkl. 6.2.6). Ebenso sind Apache ActiveMQ Web-Versionen vor 5.19.7 sowie 6.x-Versionen vor 6.2.6 anfällig.

Die Apache Software Foundation hat das Problem in gepatchten Releases gelöst, indem sie den MessageServlet-Komponenten deaktiviert und als veraltet markiert haben, wodurch die Angriffsfläche erheblich reduziert wurde.

Sicherheitslage und Risiko

Parallel dazu wurde ein weiterer wichtiger Schwachstellenbefund, CVE-2026-49157, bei Apache ActiveMQ identifiziert, der auf fehlerhafte Standardberechtigungen zurückzuführen ist. Diese Sicherheitslücke ermöglicht es authentifizierten Benutzern mit niedrigen Berechtigungen, weiterhin Zugriff auf die Jolokia-Broker-Verwaltungsendpunkte zu erhalten.

Aufgrund zu weit gefasster Standard-Autorisierungseinstellungen können Nicht-Admin-Benutzer sensible Broker-Operationen ausführen, wie beispielsweise das Erstellen oder Löschen – Aktionen, die in der Regel nur Administratoren vorbehalten sind.

Diese Schwachstelle wirft Bedenken hinsichtlich Privilegien-Eskalation und unbefugter Manipulation des Brokers Umgebungen mit mehreren Benutzern auf.

Technischer Hintergrund

Beide Sicherheitslücken verdeutlicht systemische Risiken Verwaltungsinterfaces, die über Webkonsolen und APIs ausgesetzt sind, insbesondere wenn Eingabevalidierung und Zugriffskontrollmechanismen unzureichend sind.

Angreifer, die Unternehmens-Messaging-Systeme ins Visier nehmen, könnten diese Probleme kombinieren, um das Broker-Verhalten zu manipulieren und gleichzeitig die Sicherheitsschutzmaßnahmen der Frontend-Schicht zu schwächen. Die Sicherheitsforscher Vishal Shukla, pyn3rd, uname und 4ra1n wurden für die Entdeckung des Header-Injection-Fehlers genannt.

Gleichzeitig meldete Leon Johnson das Jolokia-Berechtigungsproblem. Organisationen, die Apache ActiveMQ einsetzen, werden dringend aufgefordert, unverzüglich auf Versionen 5.19.7 oder 6.2.6 zu aktualisieren, da beide Schwachstellen in diesen Versionen behoben wurden.

Technischer Hintergrund

Darüber hinaus sollten Administratoren die Exposition der ActiveMQ-Webkonsole überprüfen, den Zugriff auf vertrauenswürdige Netzwerke beschränken und die Nachrichtenverarbeitungslogik auf die unsichere Weitergabe auditen.

Angesichts der weit verbreiteten Nutzung Microservices-Architekturen stellen diese Schwachstellen ein erhebliches Risiko dar, wenn sie nicht gepatcht werden, insbesondere Umgebungen, in denen der Zugriff auf die Webkonsole nicht streng kontrolliert ist. Abi ist Security-Editorin und Mitberichterin bei