リモートホストで実行中のApache ActiveMQのバージョンは、5.15.14より前の5.x、または5.16.1より前の5.16.xです。そのため、以下を含む複数の脆弱性による影響を受けます： 

  - 認証バイパスの脆弱性。オプションのActiveMQ LDAPログインモジュールは、LDAPサーバーへの匿名アクセスを使用するように構成できます。この場合、バージョン 5.16.1 および 5.15.14 より前の Apache ActiveMQ では、匿名のコンテキストを使用して、有効なユーザーのパスワードを誤って検証するため、パスワードがチェックされません。(CVE-2021-26117)

  - ユーザー指定の入力をユーザーに返す前に不適切に検証しているため、Apache ActiveMQ にはクロスサイトスクリプティング (XSS) の脆弱性があります。認証されていないリモート攻撃者がこれを悪用し、巧妙に作りこまれた URL をクリックするようユーザーを誘導して、ユーザーのブラウザセッションで任意のスクリプトコードを実行する可能性があります。（CVE-2020-13947）

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ頼っていることに注意してください。

検出

Apache ActiveMQ 5.x < 5.15.14 / 5.16.x < 5.16.1 複数の脆弱性

high Nessus プラグイン ID 146087

バージョン 1.9