← voltar
CVE-2026-34197

Apache ActiveMQ Broker, Apache ActiveMQ All, Apache ActiveMQ: Authenticated users could perform RCE via Jolokia MBeans

CVSS 8.8 HIGHEPSS 96.3%● KEVCWE-20CWE-94
Em resumo

Usuários autenticados no Apache ActiveMQ conseguem executar código malicioso no servidor explorando um defeito na validação de comandos da interface web Jolokia. O atacante envia uma configuração de conector de rede manipulada que força o sistema a carregar e executar código malicioso de um local remoto.

Detalhe técnico

Falha de validação de entrada (CWE-20) e injeção de código (CWE-94) na ponte Jolokia JMX-HTTP do Apache ActiveMQ (/api/jolokia/) permite que atacantes autenticados obtenham RCE via operações BrokerService.addNetworkConnector() ou addConnector() com uma URI de descoberta maliciosa. O parâmetro brokerConfig do transporte VM carrega um contexto XML Spring remoto através de ResourceXmlApplicationContext, que instancia beans singleton antes da validação, permitindo execução de código via métodos de factory de beans. Afeta versões anteriores a 5.19.4 e 6.0.0–6.2.3.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Improper Input Validation, Improper Control of Generation of Code ('Code Injection') vulnerability in Apache ActiveMQ Broker, Apache ActiveMQ. Apache ActiveMQ Classic exposes the Jolokia JMX-HTTP bridge at /api/jolokia/ on the web console. The default Jolokia access policy permits exec operations on all ActiveMQ MBeans (org.apache.activemq:*), including BrokerService.addNetworkConnector(String) and BrokerService.addConnector(String). An authenticated attacker can invoke these operations with a crafted discovery URI that triggers the VM transport's brokerConfig parameter to load a remote Spring XML application context using ResourceXmlApplicationContext. Because Spring's ResourceXmlApplicationContext instantiates all singleton beans before the BrokerService validates the configuration, arbitrary code execution occurs on the broker's JVM through bean factory methods such as Runtime.exec(). This issue affects Apache ActiveMQ Broker: before 5.19.4, from 6.0.0 before 6.2.3; Apache ActiveMQ All: before 5.19.4, from 6.0.0 before 6.2.3; Apache ActiveMQ: before 5.19.4, from 6.0.0 before 6.2.3. Users are recommended to upgrade to version 5.19.4 or 6.2.3, which fixes the issue
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Apache Software Foundation · Apache ActiveMQApache Software Foundation · Apache ActiveMQ AllApache Software Foundation · Apache ActiveMQ Broker
PoCs públicas encontradas5
githubgithub.com/Catherines77/ActiveMQ-EXPtools77githubgithub.com/hnytgl/CVE-2026-341971githubgithub.com/rootdirective-sec/CVE-2026-34197-Lab0githubgithub.com/asdasddqwdq29-a11y/CVE-2026-341970githubgithub.com/LAT-06/CVE-2026-341970
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txthttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-34197http://www.openwall.com/lists/oss-security/2026/04/06/3