漏洞概述 CVE编号: CVE-2026-49157 漏洞名称: Apache ActiveMQ: Authenticated low-privilege Web users retain Jolokia broker-management capability by default 严重程度: 重要 描述: Apache ActiveMQ 中存在默认权限配置漏洞。该漏洞影响 Apache ActiveMQ 5.19.7 之前版本和 6.0.0 之前版本。默认 Jolokia 授权设置允许非管理员(低权限)用户登录账户访问 Jolokia 操作,从而可以执行本应由管理员执行的代理管理操作,如 addQueue 和 removeQueue。 影响范围 受影响版本: - Apache ActiveMQ (org.apache.activemq:activemq) 5.19.7 之前版本 - Apache ActiveMQ (org.apache.activemq:activemq) 6.0.0 之前版本 修复方案 建议: 用户应升级到版本 6.2.6 或 5.19.7,以修复此问题。 其他信息 发现者: Leon Johnson (github: lokera) 参考链接: - https://activemq.apache.org/ - https://www.cve.org/CVERecord?id=CVE-2026-49157 代码块 页面中未包含 POC 代码或利用代码。