发布日期：2025-04-01
更新日期：2025-05-20

受影响系统：

Apache ActiveMQ Artemis >= 2.0.0 <= 2.39.0

描述：

---

CVE(CAN) ID: CVE-2025-27427

Apache ActiveMQ Artemis是美国阿帕奇（Apache）基金会的一个高性能的开源消息代理。
Apache ActiveMQ Artemis 2.0.0版本至2.39.0版本存在授权错误漏洞，该漏洞源于具有createDurableQueue或createNonDurableQueue权限的用户可以修改该网址的路由类型(即使该用户不具备creatAddress权限），而当该用户将其与发送权限和队列自动创建结合时，就可以成功用一个未经网址支持的路由发送信息，而实际上该邮件应该被拒绝，因为用户没有更改地址的路由类型的权限，这可能导致信息被错误路由。

<**>

建议：

---

厂商补丁：

Apache
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://lists.apache.org/thread/8dzlm2vkqphyrnkrby8r8kzndsm5o6x8

浏览次数：51
严重程度：0（网友投票）