Přehled
Toto oznámení se týká známé bezpečnostní chyby zjištěné v závislosti na třetí straně používané v rámci DPGW.
Podrobnosti o zranitelnosti
- CVE ID: CVE-2025-66168
- Název závislosti: activemq-client
- Ovlivněná verze závislosti: <=6.1.8
- Skóre závažnosti: NIST 8.8 High, CNA 5.4 Medium
Dotčené verze DPGW
- 1.13.13-REL – 1.13.16-REL
Posouzení rizik a použitelnosti
Použití
DPGW využívá ActiveMQ jako zprostředkovatele zpráv pro topic a fronty.
Analýza
Activemq-client sám o sobě není zranitelný, zranitelnost spočívá ve zprostředkovateli. Ve všech našich nasazeních je zprostředkovatel přístupný pouze z localhostu, proto je oblast možného útoku velmi omezená.
Stav
Ovlivněno
Skóre závažnosti v kontextu DPGW: 6.1 Medium CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:H/SI:H/SA:L/MAV:L/MPR:H
Dopad na DPGW
Pokud by útočník úspěšně zneužil tuto zranitelnost v kontextu našeho softwaru, potenciální dopad by byl následující: neočekávané chování zprostředkovatele zpráv, které by mohlo vést k nedostupnosti našeho produktu.
Náprava a zmírnění dopadů
Plánovaná oprava
Naplánovali jsme vydání verze 1.13.17-REL, která by měla tento problém vyřešit. Vydání je plánováno na polovinu března 2026.
Akce uživatele
Uživatelé mohou tuto zranitelnost zmírnit tím, že zkontrolují, zda není broker přístupný z jiných zařízení než z lokálního hostitele.