Apache ActiveMQ高危RCE漏洞:5步完成攻击链

CVE-2026-34197漏洞分析

🚨 Apache ActiveMQ 爆出高危 RCE 漏洞

Apache ActiveMQ 近日披露了一个高危远程代码执行漏洞(CVE-2026-34197),攻击者可以通过 Jolokia JMX-HTTP 桥接在broker 的 JVM 上执行任意代码。

这个漏洞的影响范围很广,所有使用 ActiveMQ 5.x 和 6.x 版本的用户都需要立即关注。

📊 漏洞基本信息

属性 详情
CVE ID CVE-2026-34197
严重等级 高危(RCE 远程代码执行)
CWE CWE-20(输入验证不当)、CWE-94(代码注入)
影响组件 Apache ActiveMQ Broker
攻击前提 需要已认证用户

⚠️ 受影响版本

  • Apache ActiveMQ 5.x:所有版本 < 5.19.4
  • Apache ActiveMQ 6.x6.0.0 – 6.2.3(不含 6.2.3)

✅ 修复版本

  • 升级到 5.19.4(5.x 系列修复版本)
  • 升级到 6.2.3(6.x 系列修复版本)

🎯 漏洞原理:5 步完成攻击

第1步:访问 Jolokia 桥接

Apache ActiveMQ Classic 在 Web 控制台暴露了 Jolokia JMX-HTTP 桥接,路径是 /api/jolokia/。这个桥接允许通过 HTTP 访问 JMX(Java Management Extensions)接口。

第2步:调用 MBean exec 操作

默认的 Jolokia 访问策略允许对所有 ActiveMQ MBeans(org.apache.activemq:*)进行 exec 操作。这意味着攻击者可以调用各种 ActiveMQ 的管理方法。

第3步:构造恶意 discovery URI

攻击者可以调用 BrokerService.addNetworkConnector(String)BrokerService.addConnector(String) 方法,传入精心构造的discovery URI,触发 VM transport 的 brokerConfig 参数。

第4步:加载远程 Spring XML

brokerConfig 参数可以指定加载远程的 Spring XML 应用上下文,使用 ResourceXmlApplicationContext

第5步:任意代码执行

关键点在于:Spring 的 ResourceXmlApplicationContext 在 BrokerService 验证配置之前,就已经实例化了所有单例 bean。攻击者可以通过 bean factory 方法如 Runtime.exec() 在 broker 的 JVM 上执行任意代码

🔒 为什么这个漏洞很危险?

  1. 认证后即可利用:只要有 ActiveMQ 的登录账号,就能发起攻击
  2. 完全控制 broker:RCE 漏洞意味着攻击者可以完全控制 ActiveMQ broker 的 JVM
  3. 影响面广:ActiveMQ 是企业级消息中间件,很多企业都在用
  4. 攻击链完整:从认证 → MBean调用 → 远程Spring XML → RCE,攻击路径清晰

🔧 如何修复?

立即升级

# 升级到修复版本
# 5.x 系列
wget https://activemq.apache.org/activemq-5.19.4

# 6.x 系列
wget https://activemq.apache.org/activemq-6.2.3

临时缓解措施

如果暂时无法升级,可以考虑:

  • 禁用 Jolokia:在 ActiveMQ 配置中禁用 Jolokia JMX-HTTP 桥接
  • 限制 Jolokia 访问策略:修改默认策略,禁止 exec 操作
  • 加强认证安全:确保 ActiveMQ 的认证凭据不被泄露
  • 网络隔离:限制 ActiveMQ Web 控制台的网络访问

检测是否被攻击

  • 检查 ActiveMQ broker 的日志,是否有异常的 addConnector/addNetworkConnector 调用
  • 检查是否有来自外部网络的 Spring XML 加载请求
  • 监控 broker JVM 的异常进程创建(Runtime.exec)

📝 总结

CVE-2026-34197 是一个典型的不安全配置导致 RCE 的案例

  • ActiveMQ 默认暴露了 Jolokia JMX-HTTP 桥接
  • 默认策略允许对所有 MBeans 进行 exec 操作
  • 攻击者可以利用 brokerConfig 参数加载远程 Spring XML
  • Spring 在验证配置前就实例化 bean,导致 RCE

如果你在使用 Apache ActiveMQ,请立即检查版本并升级到 5.19.4 或 6.2.3!

高危漏洞,立即修复,不要拖延。

官方安全公告https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt

暂无介绍....

延伸阅读:

Nginx潜伏18年漏洞CVE-2026-42945:原理PoC修复全解析
未分类
Nginx潜伏18年漏洞CVE-2026-42945:原理PoC修复全解析

🚨 Nginx 潜伏 18 年高危漏洞 CVE-2026-42945:原理、PoC 及修复方案2026年5月13日,安全...

itadol5j 2026年5月15日
GPT-5.5-Cyber独立完成网络攻击:从域名到Shell全自动
未分类
GPT-5.5-Cyber独立完成网络攻击:从域名到Shell全自动

🚨 GPT-5.5-Cyber 已能独立完成网络攻击:从域名到 Shell 全自动OpenAI 发布了 GPT-5.5-...

itadol5j 2026年5月14日
支付宝收钱Skill:AI助手帮你收款
未分类
支付宝收钱Skill:AI助手帮你收款

💰 支付宝"收钱"Skill 来了:AI 助手帮你收款支付宝"收钱"Skill来了——这是 OpenClaw 的一个新 ...

itadol5j 2026年5月13日
腾讯元宝群聊总结:一键提取关键信息
未分类
腾讯元宝群聊总结:一键提取关键信息

💬 腾讯元宝支持微信群聊一键总结:群聊信息不再漏腾讯元宝(基于腾讯混元大模型)现已支持微信群聊一键总结功能:一键总结:自...

itadol5j 2026年5月13日
Hermes Agent 2026.05.09 更新
未分类
Hermes Agent 2026.05.09 更新

AI Agent 领域再次迎来重要进展。Hermes Agent 在 2026 年 5 月 9 日发布重要更新,带来多项...

itadol5j 2026年5月10日