一、漏洞描述
近日,监测到Apache ActiveMQ存在远程代码执行漏洞。该漏洞是 CVE-2026-34197 安全修复的绕过问题。当 activemq-http 模块在类路径中时,已认证的攻击者可通过 Jolokia API 添加使用 HTTP Discovery 传输的恶意连接器,由攻击者控制的 HTTP 端点返回 VM 传输 URI 以绕过验证,进而利用 Spring 的 ResourceXmlApplicationContext 加载远程恶意XML 配置,在目标 JVM 上执行任意代码。
二、影响范围
Apache ActiveMQ Broker (activemq-broker) < 5.19.6;
6.0.0 <=Apache ActiveMQ Broker (activemq-broker) < 6.2.5;
Apache ActiveMQ All (activemq-all) < 5.19.6;
6.0.0 <= Apache ActiveMQ All (activemq-all) < 6.2.5;
Apache ActiveMQ (apache-activemq) <5.19.6;
6.0.0 <= Apache ActiveMQ (apache-activemq) < 6.2.5
三、修复建议
目前官方已有可更新版本,建议受影响用户升级至最新版本:
Apache ActiveMQ >=5.19.6
Apache ActiveMQ >= 6.2.5
