Apache ActiveMQ高危RCE漏洞:5步完成攻击链

CVE-2026-34197漏洞分析

🚨 Apache ActiveMQ 爆出高危 RCE 漏洞

Apache ActiveMQ 近日披露了一个高危远程代码执行漏洞(CVE-2026-34197),攻击者可以通过 Jolokia JMX-HTTP 桥接在broker 的 JVM 上执行任意代码。

这个漏洞的影响范围很广,所有使用 ActiveMQ 5.x 和 6.x 版本的用户都需要立即关注。

📊 漏洞基本信息

属性 详情
CVE ID CVE-2026-34197
严重等级 高危(RCE 远程代码执行)
CWE CWE-20(输入验证不当)、CWE-94(代码注入)
影响组件 Apache ActiveMQ Broker
攻击前提 需要已认证用户

⚠️ 受影响版本

  • Apache ActiveMQ 5.x:所有版本 < 5.19.4
  • Apache ActiveMQ 6.x6.0.0 – 6.2.3(不含 6.2.3)

✅ 修复版本

  • 升级到 5.19.4(5.x 系列修复版本)
  • 升级到 6.2.3(6.x 系列修复版本)

🎯 漏洞原理:5 步完成攻击

第1步:访问 Jolokia 桥接

Apache ActiveMQ Classic 在 Web 控制台暴露了 Jolokia JMX-HTTP 桥接,路径是 /api/jolokia/。这个桥接允许通过 HTTP 访问 JMX(Java Management Extensions)接口。

第2步:调用 MBean exec 操作

默认的 Jolokia 访问策略允许对所有 ActiveMQ MBeans(org.apache.activemq:*)进行 exec 操作。这意味着攻击者可以调用各种 ActiveMQ 的管理方法。

第3步:构造恶意 discovery URI

攻击者可以调用 BrokerService.addNetworkConnector(String)BrokerService.addConnector(String) 方法,传入精心构造的discovery URI,触发 VM transport 的 brokerConfig 参数。

第4步:加载远程 Spring XML

brokerConfig 参数可以指定加载远程的 Spring XML 应用上下文,使用 ResourceXmlApplicationContext

第5步:任意代码执行

关键点在于:Spring 的 ResourceXmlApplicationContext 在 BrokerService 验证配置之前,就已经实例化了所有单例 bean。攻击者可以通过 bean factory 方法如 Runtime.exec() 在 broker 的 JVM 上执行任意代码

🔒 为什么这个漏洞很危险?

  1. 认证后即可利用:只要有 ActiveMQ 的登录账号,就能发起攻击
  2. 完全控制 broker:RCE 漏洞意味着攻击者可以完全控制 ActiveMQ broker 的 JVM
  3. 影响面广:ActiveMQ 是企业级消息中间件,很多企业都在用
  4. 攻击链完整:从认证 → MBean调用 → 远程Spring XML → RCE,攻击路径清晰

🔧 如何修复?

立即升级

# 升级到修复版本
# 5.x 系列
wget https://activemq.apache.org/activemq-5.19.4

# 6.x 系列
wget https://activemq.apache.org/activemq-6.2.3

临时缓解措施

如果暂时无法升级,可以考虑:

  • 禁用 Jolokia:在 ActiveMQ 配置中禁用 Jolokia JMX-HTTP 桥接
  • 限制 Jolokia 访问策略:修改默认策略,禁止 exec 操作
  • 加强认证安全:确保 ActiveMQ 的认证凭据不被泄露
  • 网络隔离:限制 ActiveMQ Web 控制台的网络访问

检测是否被攻击

  • 检查 ActiveMQ broker 的日志,是否有异常的 addConnector/addNetworkConnector 调用
  • 检查是否有来自外部网络的 Spring XML 加载请求
  • 监控 broker JVM 的异常进程创建(Runtime.exec)

📝 总结

CVE-2026-34197 是一个典型的不安全配置导致 RCE 的案例

  • ActiveMQ 默认暴露了 Jolokia JMX-HTTP 桥接
  • 默认策略允许对所有 MBeans 进行 exec 操作
  • 攻击者可以利用 brokerConfig 参数加载远程 Spring XML
  • Spring 在验证配置前就实例化 bean,导致 RCE

如果你在使用 Apache ActiveMQ,请立即检查版本并升级到 5.19.4 或 6.2.3!

高危漏洞,立即修复,不要拖延。

官方安全公告https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt

暂无介绍....

延伸阅读:

732字节通杀Linux:史诗级漏洞潜伏近十年
未分类
732字节通杀Linux:史诗级漏洞潜伏近十年

🚨 史诗级漏洞:732 字节通杀所有 Linux,近十年潜伏一个名为"Copy Fail"的 Linux 内核漏洞(CV...

itadol5j 2026年4月30日
732字节通杀Linux:史诗级漏洞潜伏近十年
未分类
732字节通杀Linux:史诗级漏洞潜伏近十年

🚨 史诗级漏洞:732 字节通杀所有 Linux,近十年潜伏一个名为"Copy Fail"的 Linux 内核漏洞(CV...

itadol5j 2026年4月30日
中国AI历史性突破:5家公司跻身全球十强
未分类
中国AI历史性突破:5家公司跻身全球十强

🏆 中国 AI 跻身全球十强:阿里、字节、智谱历史性突破权威第三方评测机构Artificial Analysis发布最新...

itadol5j 2026年4月30日
DeepSeek V4登顶:开源免费,击败顶尖对手
未分类
DeepSeek V4登顶:开源免费,击败顶尖对手

🏆 DeepSeek V4:迄今为止最伟大的 AI 模型深度求索(DeepSeek)发布了DeepSeek V4——一个...

itadol5j 2026年4月25日
OpenClaw双版本更新:图片生成改进+安全修复
未分类
OpenClaw双版本更新:图片生成改进+安全修复

🚀 OpenClaw 2026.4.21 更新:图片生成改进 + 多项安全修复OpenClaw 于4月22日发布了202...

itadol5j 2026年4月23日