文章总结： ApacheActiveMQ存在高危远程代码执行漏洞CVE-2026-34197，因JolokiaAPI权限配置宽松，攻击者可未授权调用addNetworkConnector操作，通过恶意brokerConfig参数触发加载远程SpringXML执行代码。影响5.x低于5.19.4及6.x特定版本，建议紧急升级至5.19.4/6.2.3以上，或限制Jolokia访问、禁用非必要功能。 综合评分： 91 文章分类： 漏洞分析,应急响应,解决方案,漏洞预警,WEB安全

【高危漏洞预警】Apache ActiveMQ远程代码执行漏洞(CVE-2026-34197)

jufeng jufeng

飓风网络安全

2026年4月8日 22:29 北京

漏洞描述:

JоlоkiаAPI对AсtivеＭQMBеаn的权限配置过于宽松,允许调用аddNеtԝоrkCоnnесtоr操作该操作能够接受包含brоkеrCоnfiɡ参数的vm://传输URI,当连接到不存在的brоkеr时AсtivеMQ会通过BrоkеrFасtоrу.сrеаtеBrоkеr()加载远程Sрrinɡ XML配置文件从而执行其中的恶意代码，在AсtivеMQ 6.0.0-6.1.1版本中可配合CVE-2024-32114实现未授权远程代码执行

攻击场景:

未授权访问：攻击者可直接通过 Jolokia API 接口发起请求,无需身份验证即可调用危险操作

远程配置注入：攻击者在构造的请求中指定brokerConfig参数,将指向恶意URL的vm:// 传输URI传入,当ActiveMQ尝试连接该不存在的Broker时,会触发BrokerFactory.createBroker() 方法加载远程 Spring XML配置文件从而在服务器上执行其中的恶意代码

组合攻击：在特定版本范围（ActiveMQ 6.0.0 – 6.1.1）内，若结合 CVE-2024-32114 漏洞使用，攻击者可完全绕过权限控制实现未授权 RCE。

影响产品:

1、 Apache ActiveMQ Broker (activemq-broker) < 5.19.4

2、 Apache ActiveMQ (activemq-all) < 5.19.4

3、 6.0.0 <= Apache ActiveMQ Broker (activemq-broker) < 6.2.3

4、 6.0.0 <= Apache ActiveMQ (activemq-all) < 6.2.3

利用条件:

利用此漏洞需低权限（6.0.0 <=ActiveMQ<= 6.1.1 版本可配合CVE-2024-32114 实现未授权RCE）

修复建议:

目前官方已有可更新版本,建议受影响用户升级至最新版本

Aрасhе AсtivеＭQ >=5.19.4

Aрасhе AсtivеMQ >= 6.2.3

建议措施:

紧急升级补丁：这是最根本的解决方案。请立即将受影响的 Apache ActiveMQ 组件升级至官方修复版本：

ActiveMQ 5.x 系列：升级至 5.19.4 或更高版本。

ActiveMQ 6.x 系列：升级至 6.2.3 或更高版本。

限制Jolokia 访问：在无法立即升级的情况下，应在防火墙或网关层面严格限制对 Jolokia API 端口（通常为 8161 或其他自定义端口）的访问，仅允许受信任的管理 IP 地址连接。

禁用不必要的功能：检查ActiveMQ配置文件，确认是否必须启用 Jolokia 扩展。如果业务不需要监控和管理功能，建议在 web.xml 或 jolokia.xml中禁用相关MBean 的暴露,特别是 addNetworkConnector 相关的操作。

强化网络隔离：确保 ActiveMQ 服务不直接暴露在公网，并通过内部网络隔离策略限制其对未知外部域名的出站连接，防止恶意 XML 配置文件的下载与执行。

专项排查：针对运行在 6.0.0 至 6.1.1 版本的老旧系统，需重点排查是否存在 CVE-2024-32114 的痕迹，因为这两个漏洞的组合利用风险极高。

参考链接:

http://www.openwall.com/lists/oss-security/2026/04/06/3

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飓风网络安全 jufeng jufeng《【高危漏洞预警】Apache ActiveMQ远程代码执行漏洞(CVE-2026-34197)》