JVNDB-2026-006408

JVNDB-2026-006408
Apache ActiveMQシリーズにおけるMQTTパケット検証不備の脆弱性［AMQ-9810］
概要
The Apache Software Foundationが提供するApache ActiveMQシリーズではMQTTパケットの検証が適切に行われておらず、整数オーバーフローが発生して想定外の動作につながる可能性があります。 Apache ActiveMQシリーズには、次の脆弱性が存在します。整数オーバーフローまたはラップアラウンド（CWE-190）- CVE-2025-66168、CVE-2026-40046 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がバージョン6.2.0に対する指摘として開発者とIPAに報告し、JPCERT/CCが開発者と公表の調整を行いました。報告者：三井物産セキュアディレクション株式会社田中凱氏

CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 5.4 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし
CVSS v4 による深刻度基本値: 5.3 (警告) [IPA値] 攻撃元区分 (AV): ネットワーク攻撃条件の複雑さ (AC): 低攻撃要件 (AT): なし攻撃に必要な特権レベル (PR): 低利用者の関与 (UI): なし脆弱なシステムへの影響機密性への影響 (VC): 低完全性への影響 (VI): 低可用性への影響 (VA): なし後続システムへの影響機密性への影響 (SC): なし完全性への影響 (SI): なし可用性への影響 (SA): なし
影響を受けるシステム

Apache Software Foundation Apache ActiveMQ 5.19.2より前の5.xバージョン Apache ActiveMQ 6.2.4より前の6.xバージョン Apache ActiveMQ All モジュール 5.19.2より前の5.xバージョン Apache ActiveMQ All モジュール 6.2.4より前の6.xバージョン Apache ActiveMQ MQTT モジュール 5.19.2より前の5.xバージョン Apache ActiveMQ MQTT モジュール 6.2.4より前の6.xバージョン

想定される影響
細工されたMQTTパケットを適切に処理できず、想定外の動作が発生する可能性があります。
対策
[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
ベンダ情報
Apache Software Foundation The Apache Software Foundation : CVE-2025-66168 - MQTT control packet remaining length field is not properly validated The Apache Software Foundation : CVE-2026-40046 - Missing fix for CVE-2025-66168: MQTT control packet remaining length field is not properly validated The Apache Software Foundation : [AMQ-9810] Add additional validation for MQTT control packets
CWEによる脆弱性タイプ一覧 CWEとは?
その他(CWE-Other) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2025-66168 CVE-2026-40046
参考情報
JVN : JVN#20669184 National Vulnerability Database (NVD) : CVE-2025-66168
更新履歴
[2026年03月09日] 掲載 [2026年04月24日] 　タイトル、概要、CVSSによる深刻度、影響を受けるシステム、想定される影響、対策、ベンダ情報、参考情報、CWEによる脆弱性タイプ一覧：内容を更新


公表日	2026/03/04
登録日	2026/03/09
最終更新日	2026/04/24

Apache ActiveMQシリーズにおけるMQTTパケット検証不備の脆弱性［AMQ-9810］