Se ha identificado una vulnerabilidad crítica en Apache ActiveMQ, un agente de mensajería de código abierto de amplio uso.
La falla, registrada formalmente como CVE-2025-27533, faculta a atacantes remotos para originar una condición de Denegación de Servicio (DoS) mediante la explotación de una gestión inadecuada de la asignación de memoria durante el procesamiento de comandos OpenWire.
Esta vulnerabilidad representa un riesgo significativo para las organizaciones que utilizan ActiveMQ para la mensajería en tiempo real, ya que podría ocasionar interrupciones imprevistas del servicio e impactar negativamente las operaciones comerciales.
La falla de seguridad ha sido clasificada como una vulnerabilidad de asignación de memoria con valor de tamaño excesivo y se debe a una validación inadecuada de los tamaños de búfer durante la descomposición de los comandos OpenWire.
Esta falla técnica permite a atacantes remotos solicitar una asignación excesiva de memoria, lo que potencialmente agota los recursos del sistema y provoca que el broker ActiveMQ falle.
«Durante la descomposición de los comandos OpenWire, el valor del tamaño de los buffers no se validó adecuadamente, lo que podría conducir a una asignación excesiva de memoria», se lee en el aviso.
En última instancia, esta vulnerabilidad agota la memoria del proceso, lo que afecta las aplicaciones y servicios que dependen de la disponibilidad del agente ActiveMQ.
El problema se remonta a un problema anterior identificado en el problema AMQ-6596 de JIRA, donde se informaron errores de OutOfMemory durante la desclasificación de OpenWire.
La causa raíz se encontró en la clase BaseDataStreamMarshaller, donde durante el método LooseUnmarshalByteSequence, podía ocurrir un intento de inicializar una matriz de bytes masiva sin una validación del tamaño adecuado.
En un caso documentado, un análisis de vulnerabilidades provocó que ActiveMQ fallara cuando intentaba inicializar una matriz de bytes de más de 2 mil millones de bytes.
Esta vulnerabilidad se puede explotar incluso cuando existen límites de configuración de maxFrameSize, ya que la primera comparación con maxFrameSize tiene éxito, pero una evaluación posterior aún permite asignaciones de memoria excesivamente grandes.
Los detalles de la vulnerabilidad son los siguientes:
- Productos afectados: Versiones de Apache ActiveMQ: – 6.0.0 a 6.1.5 – 5.18.0 a 5.18.6 – 5.17.0 a 5.17.6 – 5.16.0 a 5.16.7.
- Impacto: Denegación de servicio (DoS).
- Requisitos: Requiere acceso no autenticado al agente ActiveMQ.
- Puntuación CVSS 3.1: Alta.
Cabe destacar que ActiveMQ 5.19.0 y las versiones posteriores no se encuentran comprometidas por esta vulnerabilidad.
El equipo de desarrollo de ActiveMQ ha implementado una solución que efectúa una validación apropiada de los tamaños de los búferes durante el proceso de deserialización, tal como se evidencia en una reciente modificación al repositorio del proyecto realizada por el desarrollador Christopher Shannon. Esta actualización asegura que los tamaños de los búferes sean verificados previamente a cualquier intento de asignación de memoria.
Los investigadores de seguridad aconsejan a las organizaciones que emplean las versiones afectadas de ActiveMQ que realicen una actualización inmediata a las versiones corregidas: 6.1.6+, 5.19.0+, 5.18.7+, 5.17.7 o 5.16.8.
Para aquellas organizaciones que no puedan efectuar la actualización de forma inmediata, la implementación de TLS (Seguridad de la Capa de Transporte) mutua puede disminuir el riesgo, dado que la explotación de la vulnerabilidad resulta ineficaz cuando se aplican conexiones TLS mutuas.
Esta vulnerabilidad subraya la relevancia de una validación de entrada adecuada, especialmente al procesar datos serializados provenientes de fuentes potencialmente no confiables.
Este incidente guarda similitud con otras vulnerabilidades de deserialización que han afectado a agentes de mensajería y servidores de aplicaciones en años recientes.
Se recomienda enfáticamente a las organizaciones que utilicen Apache ActiveMQ en entornos de producción que evalúen su nivel de exposición y apliquen las mitigaciones sugeridas a la mayor brevedad posible, con el fin de salvaguardar su infraestructura de mensajería ante posibles ataques de denegación de servicio.
