Los administradores de TI deben revisar sus configuraciones de mensajería. Una falla de desbordamiento de enteros permite a usuarios autenticados colapsar los servidores que utilizan el protocolo MQTT.
Las herramientas de mensajería empresarial vuelven a estar bajo escrutinio. Hoy, 6 de marzo de 2026, se informa sobre una nueva vulnerabilidad que afecta al popular broker de mensajes de código abierto Apache ActiveMQ.
Registrado bajo el identificador CVE-2025-66168 (con una severidad media CVSS de 5.4), este fallo permite a atacantes autenticados desencadenar una condición de Denegación de Servicio (DoS) enviando paquetes de red intencionalmente malformados. La vulnerabilidad fue descubierta inicialmente por un investigador de seguridad y confirmada en la lista de correo oficial de Apache por los mantenedores Christopher L. Shannon y Matt Pavlovich.
El Origen del Problema: Un Desbordamiento de Enteros
La mecánica de este fallo expone un error fundamental en el procesamiento de datos del servidor:
- La raíz de esta vulnerabilidad se encuentra específicamente en el módulo MQTT de Apache ActiveMQ.
- Cuando un cliente envía un paquete de control MQTT, el broker lee un campo llamado “longitud restante” (remaining length) para determinar cuántos datos entrantes le siguen.
- ActiveMQ falla al no validar correctamente este campo, lo que provoca un desbordamiento de enteros durante la decodificación.
- Como consecuencia directa, el broker calcula mal el tamaño de la carga útil y malinterpreta una única carga útil maliciosa como si fueran múltiples paquetes MQTT diferentes.
- Este comportamiento viola directamente la especificación oficial MQTT v3.1.1, la cual limita estrictamente la longitud restante a cuatro bytes.
- En última instancia, esta confusión genera un comportamiento inesperado en el broker e interrumpe el manejo de mensajes para los clientes.
Condiciones y Superficie de Ataque
Afortunadamente, el diseño del ataque requiere cumplir con requisitos previos que limitan su alcance masivo. El exploit solo puede ocurrir en conexiones de red ya establecidas y únicamente después de que el atacante haya completado con éxito el proceso de autenticación.
Además, la vulnerabilidad solo afecta a los servidores que tienen los conectores de transporte MQTT explícitamente habilitados. Aquellos brokers que operan sin MQTT habilitado están completamente a salvo de esta amenaza específica.
Versiones Afectadas y Parches
La falla impacta el framework principal de Apache ActiveMQ, el módulo ActiveMQ All y el módulo MQTT en varias ramas de versiones:
- Afecta a: Todas las versiones anteriores a la 5.19.2, las versiones desde la 6.0.0 hasta la 6.1.8, y la versión 6.2.0.
- Versiones Parcheadas Seguras: Para asegurar la infraestructura, los administradores deben actualizar inmediatamente a las versiones 5.19.2, 6.1.9 o 6.2.1.
Estas actualizaciones de seguridad introducen controles de validación estrictos en los campos de longitud de los paquetes para prevenir estas condiciones de desbordamiento de forma permanente. Si aplicar el parche no es factible en tu entorno de producción en este momento, los mantenedores recomiendan apagar temporalmente el conector de transporte MQTT como medida de mitigación.
