Apache ActiveMQ高危RCE漏洞:5步完成攻击链

CVE-2026-34197漏洞分析

🚨 Apache ActiveMQ 爆出高危 RCE 漏洞

Apache ActiveMQ 近日披露了一个高危远程代码执行漏洞(CVE-2026-34197),攻击者可以通过 Jolokia JMX-HTTP 桥接在broker 的 JVM 上执行任意代码。

这个漏洞的影响范围很广,所有使用 ActiveMQ 5.x 和 6.x 版本的用户都需要立即关注。

📊 漏洞基本信息

属性 详情
CVE ID CVE-2026-34197
严重等级 高危(RCE 远程代码执行)
CWE CWE-20(输入验证不当)、CWE-94(代码注入)
影响组件 Apache ActiveMQ Broker
攻击前提 需要已认证用户

⚠️ 受影响版本

  • Apache ActiveMQ 5.x:所有版本 < 5.19.4
  • Apache ActiveMQ 6.x6.0.0 – 6.2.3(不含 6.2.3)

✅ 修复版本

  • 升级到 5.19.4(5.x 系列修复版本)
  • 升级到 6.2.3(6.x 系列修复版本)

🎯 漏洞原理:5 步完成攻击

第1步:访问 Jolokia 桥接

Apache ActiveMQ Classic 在 Web 控制台暴露了 Jolokia JMX-HTTP 桥接,路径是 /api/jolokia/。这个桥接允许通过 HTTP 访问 JMX(Java Management Extensions)接口。

第2步:调用 MBean exec 操作

默认的 Jolokia 访问策略允许对所有 ActiveMQ MBeans(org.apache.activemq:*)进行 exec 操作。这意味着攻击者可以调用各种 ActiveMQ 的管理方法。

第3步:构造恶意 discovery URI

攻击者可以调用 BrokerService.addNetworkConnector(String)BrokerService.addConnector(String) 方法,传入精心构造的discovery URI,触发 VM transport 的 brokerConfig 参数。

第4步:加载远程 Spring XML

brokerConfig 参数可以指定加载远程的 Spring XML 应用上下文,使用 ResourceXmlApplicationContext

第5步:任意代码执行

关键点在于:Spring 的 ResourceXmlApplicationContext 在 BrokerService 验证配置之前,就已经实例化了所有单例 bean。攻击者可以通过 bean factory 方法如 Runtime.exec() 在 broker 的 JVM 上执行任意代码

🔒 为什么这个漏洞很危险?

  1. 认证后即可利用:只要有 ActiveMQ 的登录账号,就能发起攻击
  2. 完全控制 broker:RCE 漏洞意味着攻击者可以完全控制 ActiveMQ broker 的 JVM
  3. 影响面广:ActiveMQ 是企业级消息中间件,很多企业都在用
  4. 攻击链完整:从认证 → MBean调用 → 远程Spring XML → RCE,攻击路径清晰

🔧 如何修复?

立即升级

# 升级到修复版本
# 5.x 系列
wget https://activemq.apache.org/activemq-5.19.4

# 6.x 系列
wget https://activemq.apache.org/activemq-6.2.3

临时缓解措施

如果暂时无法升级,可以考虑:

  • 禁用 Jolokia:在 ActiveMQ 配置中禁用 Jolokia JMX-HTTP 桥接
  • 限制 Jolokia 访问策略:修改默认策略,禁止 exec 操作
  • 加强认证安全:确保 ActiveMQ 的认证凭据不被泄露
  • 网络隔离:限制 ActiveMQ Web 控制台的网络访问

检测是否被攻击

  • 检查 ActiveMQ broker 的日志,是否有异常的 addConnector/addNetworkConnector 调用
  • 检查是否有来自外部网络的 Spring XML 加载请求
  • 监控 broker JVM 的异常进程创建(Runtime.exec)

📝 总结

CVE-2026-34197 是一个典型的不安全配置导致 RCE 的案例

  • ActiveMQ 默认暴露了 Jolokia JMX-HTTP 桥接
  • 默认策略允许对所有 MBeans 进行 exec 操作
  • 攻击者可以利用 brokerConfig 参数加载远程 Spring XML
  • Spring 在验证配置前就实例化 bean,导致 RCE

如果你在使用 Apache ActiveMQ,请立即检查版本并升级到 5.19.4 或 6.2.3!

高危漏洞,立即修复,不要拖延。

官方安全公告https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt

暂无介绍....

延伸阅读:

Apache ActiveMQ高危RCE漏洞:5步完成攻击链
未分类
Apache ActiveMQ高危RCE漏洞:5步完成攻击链

🚨 Apache ActiveMQ 爆出高危 RCE 漏洞Apache ActiveMQ 近日披露了一个高危远程代码执行...

itadol5j 2026年4月11日
逼AI当山顶洞人!Claude防话痨插件爆火,网友:受够了AI废话
未分类
逼AI当山顶洞人!Claude防话痨插件爆火,网友:受够了AI废话

🗿 穴居人模式:让AI只说人话最近,一个叫 「caveman」(穴居人) 的 Claude Code 插件在 Hacke...

itadol5j 2026年4月6日
OpenClaw 2026.4.5重磅更新:内置视频音乐生成,12种语言随便切换
未分类
OpenClaw 2026.4.5重磅更新:内置视频音乐生成,12种语言随便切换

OpenClaw 2026.4.5 正式发布OpenClaw 刚刚发布了 2026.4.5 版本,这是一次重磅功能更新。...

itadol5j 2026年4月6日
AI时代生存指南:当未来来得太快,我们如何与焦虑共处
未分类
AI时代生存指南:当未来来得太快,我们如何与焦虑共处

🌊 未来来得太快,我们还没准备好"AI 改变生活,改变业态,改变了以往的所有工作模式。未来,来的太来了,感觉脑子要爆了…...

itadol5j 2026年4月4日
Claude订阅政策变化:第三方工具使用需额外付费
未分类
Claude订阅政策变化:第三方工具使用需额外付费

💥 重要变化:Claude Pro 不再覆盖第三方工具近日,Anthropic 更新了 Claude 订阅服务条款,明确...

itadol5j 2026年4月4日