Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - 警告以前の 6.x リリースでは修正が行われていないため、 6.x のユーザーは 6.2.4 以降にアップグレードする必要があります。詳細については、以下を参照してください https://activemq.apache.org/security-advisories.data/CVE-2026-40046-announcement.txt https://www.cve.org/CVERecord?id=CVE-2026-40046 元のレポートApache ActiveMQ は、残りの長さフィールドを適切に検証していないため、無効な形式のパケットをデコードする際に、オーバーフローが発生する可能性があります。この整数オーバーフローが発生すると、ActiveMQ が合計 Remaining Length を不適切に計算し、その後ペイロードを複数の MQTT コントロールパケットとして誤って解釈する可能性があります。これにより、非準拠クライアントとのやり取りの際に、ブローカーが予期しない挙動に影響を受けやすくなります。この動作は、Remaining Lengthを最大4バイトに制限するMQTT v3.1.1仕様に違反しています。このシナリオは、認証プロセス後に確立された接続で発生します。
    mqtt トランスポートコネクタを有効にしていないブローカーは影響を受けません。この問題は、Apache ActiveMQ に影響を与えます 5.19.2より前の 、[ 6.0.0 、 6.1.8、および 6.2.0 ユーザーは、バージョン 5.19.2、 6.1.9、または 6.2.1にアップグレードすることをお勧めします。これにより、この問題が修正されます。CVE-2025-66168

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

検出

Linux Distros のパッチ未適用の脆弱性: CVE-2025-66168

high Nessus プラグイン ID 301143

バージョン 1.4