【已复现】ApacheActiveMQ远程代码执行漏洞(CVE-2026-40466)

admin
admin
admin
0
文章
0
评论
2026-04-26 05:33:50 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: ApacheActiveMQ存在远程代码执行漏洞CVE-2026-40466,攻击者可通过JolokiaAPI调用addNetworkConnector操作利用vm传输加载远程SpringXML配置文件执行任意命令。影响版本包括5.19.6之前和6.0.0-6.2.5之间的多个版本,CVSS评分为8.8高危。建议立即升级至5.19.6或6.2.5版本,临时缓解措施包括限制管理接口访问和禁用activemq-http模块。 综合评分: 87 文章分类: 漏洞分析,应急响应,漏洞预警,解决方案,WEB安全

cover_image

【已复现】Apache ActiveMQ 远程代码执行漏洞(CVE-2026-40466)

安恒信息CERT

2026年4月24日 19:40 浙江

在小说阅读器读本章

去阅读

| | | | | | — | — | — | — | | 漏洞概述 | | | | | 漏洞名称 | Apache ActiveMQ 远程代码执行漏洞 | | | | 安恒CERT评级 | 2级 | CVSS3.1评分 | 8.8 | | CVE编号 | CVE-2026-40466 | CNVD编号 | 未分配 | | CNNVD编号 | 未分配 | 安恒CERT编号 | WM-202604-000001 | | POC情况 | 已发现 | EXP情况 | 已发现 | | 在野利用 | 未发现 | 研究情况 | 已复现 | | 危害描述 | 攻击者可通过 Jolokia API 调用 addNetworkConnector 操作,利用 vm:// 传输加载远程 Spring XML 配置文件执行任意命令。 | | |

该产品主要使用客户行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护。

安恒研究院卫兵实验室已通过恒脑AI代码审计智能体复现此漏洞。

漏洞信息

Apache ActiveMQ 是一个开源的 Java 消息代理(Message Broker),它作为中间件用于在分布式系统中解耦服务和管理消息队列。

漏洞描述

漏洞危害等级:高危

漏洞类型:远程代码执行

影响范围

影响版本:

Apache ActiveMQ Broker (activemq-broker) < 5.19.6

6.0.0 <= Apache ActiveMQ Broker (activemq-broker) < 6.2.5

Apache ActiveMQ All(activemq-all) < 5.19.6

6.0.0 <= Apache ActiveMQ All(activemq-all) < 6.2.5

Apache ActiveMQ(apache-activemq) < 5.19.6

6.0.0 <= Apache ActiveMQ(apache-activemq) < 6.2.5

CVSS向量

访问途径(AV):网络

攻击复杂度(AC):低

所需权限(PR):低

用户交互(UI):无

影响范围 (S):不变

机密性影响 (C):高

完整性影响 (l):高

可用性影响 (A):高

修复方案

官方修复方案:

1、升级 Apache ActiveMQ 至官方修复版本 5.19.6 或 6.2.5。

2、对已部署实例重点排查 Jolokia API 暴露情况、异常 network connector 配置以及可疑远程 XML 加载行为。

3、如业务使用了受影响版本,升级后建议结合日志审计与主机排查确认是否存在异常利用痕迹。

信息来源:https://seclists.org/oss-sec/2026/q2/207

临时缓解方案:

1、在完成升级前,限制 ActiveMQ 管理接口和 Jolokia API 的访问范围,避免暴露到不可信网络。

2、若业务允许,可临时禁用或移除 activemq-http 模块,降低通过 HTTP Discovery 链路触发问题的风险。

3、结合防火墙、反向代理或访问控制策略,仅允许受信任的管理来源访问相关管理端点。

信息来源:https://mp.weixin.qq.com/s/dWklev4zkj1rRms1B6tRaQ

参考资料

https://mp.weixin.qq.com/s/dWklev4zkj1rRms1B6tRaQ

https://seclists.org/oss-sec/2026/q2/207

https://activemq.apache.org/download.html

技术支持

如有漏洞相关需求支持请联系400-6059-110获取相关能力支撑。

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安恒信息CERT 《【已复现】Apache ActiveMQ 远程代码执行漏洞(CVE-2026-40466)》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0