← volver
CVE-2026-34197

Apache ActiveMQ Broker, Apache ActiveMQ All, Apache ActiveMQ: Authenticated users could perform RCE via Jolokia MBeans

CVSS 8.8 HIGHEPSS 96.3%● KEVCWE-20CWE-94
En resumen

Usuarios autenticados en Apache ActiveMQ pueden ejecutar código arbitrario en el servidor explotando un defecto en la validación de comandos de la interfaz web Jolokia. Un atacante envía una configuración de conector de red manipulada que engaña al sistema para cargar y ejecutar código malicioso desde una ubicación remota.

Detalle técnico

Falla de validación de entrada impropia (CWE-20) e inyección de código (CWE-94) en el puente Jolokia JMX-HTTP de Apache ActiveMQ (/api/jolokia/) permite que atacantes autenticados logren RCE mediante operaciones BrokerService.addNetworkConnector() o addConnector() con una URI de descubrimiento maliciosa. El parámetro brokerConfig del transporte VM carga un contexto XML Spring remoto a través de ResourceXmlApplicationContext, que instancia beans singleton antes de la validación, permitiendo ejecución de código mediante métodos factory de beans. Afecta versiones anteriores a 5.19.4 y 6.0.0–6.2.3.

Resumen generado y traducido por IA a partir de la descripción oficial.
Improper Input Validation, Improper Control of Generation of Code ('Code Injection') vulnerability in Apache ActiveMQ Broker, Apache ActiveMQ. Apache ActiveMQ Classic exposes the Jolokia JMX-HTTP bridge at /api/jolokia/ on the web console. The default Jolokia access policy permits exec operations on all ActiveMQ MBeans (org.apache.activemq:*), including BrokerService.addNetworkConnector(String) and BrokerService.addConnector(String). An authenticated attacker can invoke these operations with a crafted discovery URI that triggers the VM transport's brokerConfig parameter to load a remote Spring XML application context using ResourceXmlApplicationContext. Because Spring's ResourceXmlApplicationContext instantiates all singleton beans before the BrokerService validates the configuration, arbitrary code execution occurs on the broker's JVM through bean factory methods such as Runtime.exec(). This issue affects Apache ActiveMQ Broker: before 5.19.4, from 6.0.0 before 6.2.3; Apache ActiveMQ All: before 5.19.4, from 6.0.0 before 6.2.3; Apache ActiveMQ: before 5.19.4, from 6.0.0 before 6.2.3. Users are recommended to upgrade to version 5.19.4 or 6.2.3, which fixes the issue
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
Apache Software Foundation · Apache ActiveMQApache Software Foundation · Apache ActiveMQ AllApache Software Foundation · Apache ActiveMQ Broker
PoCs públicas encontradas5
githubgithub.com/Catherines77/ActiveMQ-EXPtools77githubgithub.com/hnytgl/CVE-2026-341971githubgithub.com/rootdirective-sec/CVE-2026-34197-Lab0githubgithub.com/LAT-06/CVE-2026-341970githubgithub.com/asdasddqwdq29-a11y/CVE-2026-341970
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txthttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-34197http://www.openwall.com/lists/oss-security/2026/04/06/3