Apache ActiveMQ高危RCE漏洞:5步完成攻击链

CVE-2026-34197漏洞分析

🚨 Apache ActiveMQ 爆出高危 RCE 漏洞

Apache ActiveMQ 近日披露了一个高危远程代码执行漏洞(CVE-2026-34197),攻击者可以通过 Jolokia JMX-HTTP 桥接在broker 的 JVM 上执行任意代码。

这个漏洞的影响范围很广,所有使用 ActiveMQ 5.x 和 6.x 版本的用户都需要立即关注。

📊 漏洞基本信息

属性 详情
CVE ID CVE-2026-34197
严重等级 高危(RCE 远程代码执行)
CWE CWE-20(输入验证不当)、CWE-94(代码注入)
影响组件 Apache ActiveMQ Broker
攻击前提 需要已认证用户

⚠️ 受影响版本

  • Apache ActiveMQ 5.x:所有版本 < 5.19.4
  • Apache ActiveMQ 6.x6.0.0 – 6.2.3(不含 6.2.3)

✅ 修复版本

  • 升级到 5.19.4(5.x 系列修复版本)
  • 升级到 6.2.3(6.x 系列修复版本)

🎯 漏洞原理:5 步完成攻击

第1步:访问 Jolokia 桥接

Apache ActiveMQ Classic 在 Web 控制台暴露了 Jolokia JMX-HTTP 桥接,路径是 /api/jolokia/。这个桥接允许通过 HTTP 访问 JMX(Java Management Extensions)接口。

第2步:调用 MBean exec 操作

默认的 Jolokia 访问策略允许对所有 ActiveMQ MBeans(org.apache.activemq:*)进行 exec 操作。这意味着攻击者可以调用各种 ActiveMQ 的管理方法。

第3步:构造恶意 discovery URI

攻击者可以调用 BrokerService.addNetworkConnector(String)BrokerService.addConnector(String) 方法,传入精心构造的discovery URI,触发 VM transport 的 brokerConfig 参数。

第4步:加载远程 Spring XML

brokerConfig 参数可以指定加载远程的 Spring XML 应用上下文,使用 ResourceXmlApplicationContext

第5步:任意代码执行

关键点在于:Spring 的 ResourceXmlApplicationContext 在 BrokerService 验证配置之前,就已经实例化了所有单例 bean。攻击者可以通过 bean factory 方法如 Runtime.exec() 在 broker 的 JVM 上执行任意代码

🔒 为什么这个漏洞很危险?

  1. 认证后即可利用:只要有 ActiveMQ 的登录账号,就能发起攻击
  2. 完全控制 broker:RCE 漏洞意味着攻击者可以完全控制 ActiveMQ broker 的 JVM
  3. 影响面广:ActiveMQ 是企业级消息中间件,很多企业都在用
  4. 攻击链完整:从认证 → MBean调用 → 远程Spring XML → RCE,攻击路径清晰

🔧 如何修复?

立即升级

# 升级到修复版本
# 5.x 系列
wget https://activemq.apache.org/activemq-5.19.4

# 6.x 系列
wget https://activemq.apache.org/activemq-6.2.3

临时缓解措施

如果暂时无法升级,可以考虑:

  • 禁用 Jolokia:在 ActiveMQ 配置中禁用 Jolokia JMX-HTTP 桥接
  • 限制 Jolokia 访问策略:修改默认策略,禁止 exec 操作
  • 加强认证安全:确保 ActiveMQ 的认证凭据不被泄露
  • 网络隔离:限制 ActiveMQ Web 控制台的网络访问

检测是否被攻击

  • 检查 ActiveMQ broker 的日志,是否有异常的 addConnector/addNetworkConnector 调用
  • 检查是否有来自外部网络的 Spring XML 加载请求
  • 监控 broker JVM 的异常进程创建(Runtime.exec)

📝 总结

CVE-2026-34197 是一个典型的不安全配置导致 RCE 的案例

  • ActiveMQ 默认暴露了 Jolokia JMX-HTTP 桥接
  • 默认策略允许对所有 MBeans 进行 exec 操作
  • 攻击者可以利用 brokerConfig 参数加载远程 Spring XML
  • Spring 在验证配置前就实例化 bean,导致 RCE

如果你在使用 Apache ActiveMQ,请立即检查版本并升级到 5.19.4 或 6.2.3!

高危漏洞,立即修复,不要拖延。

官方安全公告https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt

暂无介绍....

延伸阅读:

Hermes Agent 2026.5 最新版起飞:一份订阅吃遍所有 AI 工具,启动快 19 秒
未分类
Hermes Agent 2026.5 最新版起飞:一份订阅吃遍所有 AI 工具,启动快 19 秒

5月份 AI 圈最不安分的开源项目,必须留个名字给 Hermes Agent。Nous Research 这次甩出的 v...

itadol5j 2026年5月24日
启动直接起飞!OpenClaw 5.22 把网关性能干到 4100 倍,AI 助手再没借口慢
未分类
启动直接起飞!OpenClaw 5.22 把网关性能干到 4100 倍,AI 助手再没借口慢

凌晨一点,OpenClaw 团队甩出了 2026.5.22 这个版本。这次的看点不是新模型、不是新皮肤,而是把 Gate...

itadol5j 2026年5月24日
Qwen3.7-Max百炼上线:¥12/M输入,国产模型登顶Arena
未分类
Qwen3.7-Max百炼上线:¥12/M输入,国产模型登顶Arena

🤖 Qwen3.7-Max百炼上线:¥12/M输入,国产模型登顶Arena北京时间2026年5月22日,Qwen3.7-...

itadol5j 2026年5月22日
Claude 2026.05.20:29万员工部署,Karpathy加盟Anthropic
未分类
Claude 2026.05.20:29万员工部署,Karpathy加盟Anthropic

🤖 Claude 2026.05.20:29万员工部署,Karpathy加盟Anthropic北京时间2026年5月20...

itadol5j 2026年5月21日
OpenClaw 2026.5.19:Android实时语音体验
未分类
OpenClaw 2026.5.19:Android实时语音体验

🦞 OpenClaw 2026.5.19:Android实时语音,Mac设置优化OpenClaw 发布2026.5.19...

itadol5j 2026年5月21日