CRITICAL🇬🇧 English

CVE-2026-22886

Eclipse OpenMQ — domyślne dane logowania umożliwiają przejęcie kontroli

CVSS 9.8v3.1pub. 2026-03-03upd. 2026-04-09

Eclipse OpenMQ dostarcza usługę zarządzania (imqbrokerd) z domyślnym kontem administratora (admin/admin), którego zmiana hasła nie jest wymuszana. Zdalny atakujący bez żadnego uwierzytelnienia własnego może zalogować się przy użyciu domyślnych danych i przejąć pełną kontrolę administracyjną nad brokerem.

Pokaż oryginał (EN)

OpenMQ exposes a TCP-based management service (imqbrokerd) that by default requires authentication. However, the product ships with a default administrative account (admin/ admin) and does not enforce a mandatory password change on first use. After the first successful login, the server continues to accept the default password indefinitely without warning or enforcement. In real-world deployments, this service is often left enabled without changing the default credentials. As a result, a remote attacker with access to the service port could authenticate as an administrator and gain full control of the protocol’s administrative features.

🤖 Analiza AI
Jak działa

Usługa zarządzania oparta na protokole TCP (imqbrokerd) jest domyślnie włączona i wymaga uwierzytelnienia, jednak produkt jest dostarczany z predefiniowanym kontem administratora o danych admin/admin. System nie wymusza zmiany hasła przy pierwszym logowaniu ani w żadnym późniejszym momencie. Po pierwszym udanym logowaniu serwer akceptuje domyślne hasło bezterminowo, bez ostrzeżeń ani mechanizmów wymuszających jego zmianę. W praktycznych wdrożeniach usługa ta jest często pozostawiana włączona bez modyfikacji domyślnych danych uwierzytelniających.

Skutki

Atakujący z dostępem sieciowym do portu usługi może uwierzytelnić się jako administrator i uzyskać pełną kontrolę nad funkcjami administracyjnymi brokera OpenMQ, co może prowadzić do naruszenia poufności, integralności oraz dostępności systemu.

Mitygacja

Należy natychmiast zmienić domyślne hasło konta administratora (admin/admin) na silne, unikalne hasło. Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu sieciowego do portu usługi imqbrokerd wyłącznie do zaufanych hostów za pomocą firewall oraz przeprowadzenie audytu wszystkich wdrożeń pod kątem użycia domyślnych danych logowania.

Kogo dotyczy

Eclipse OpenMQ — wersje wskazane w referencjach producenta

Uwagi

Podatność opiera się na trzech powiązanych słabościach: CWE-1391 (użycie słabych danych uwierzytelniających), CWE-1392 (użycie domyślnych danych uwierzytelniających) oraz CWE-1393 (użycie domyślnego hasła). Zgłoszenie zarejestrowano pod adresem: https://gitlab.eclipse.org/security/cve-assignment/-/issues/85.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Eclipse Openmq

    APP
    Eclipse
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-24457CRITICAL9.1PL ✓ten sam produkt

Path Traversal w Eclipse OpenMQ umożliwia odczyt plików i potencjalny RCE

CVE-2026-2586CRITICAL9.1ten sam vendor

An authenticated Remote Code Execution (RCE) vulnerability was identified in GlassFish's Administration Consol...

CVE-2026-2587CRITICAL9.6ten sam vendor

A critical Remote Code Execution (RCE) vulnerability was identified in the server-side template rendering mech...

CVE-2026-1699CRITICAL10.0PL ✓ten sam vendor

Eclipse Theia Website: RCE w CI/CD przez podatny trigger GitHub Actions

CVE-2025-67109CRITICAL10.0PL ✓ten sam vendor

Eclipse Cyclone DDS — błędna weryfikacja czasu certyfikatu umożliwia eskalację uprawnień

CVE-2026-22886 — Eclipse OpenMQ — domyślne dane logowania umożliwiają przejęcie kontroli — CRITICAL 9.8 | CVEbaza.pl