PT-2026-30805 · Apache · Apache Activemq
Naveen Sunkavally
·
Publicado
2026-04-07
·
Atualizado
2026-07-04
·
CVE-2026-34197
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do Software Vulnerável e Versões Afetadas
Apache ActiveMQ Broker versões anteriores a 5.19.7
Apache ActiveMQ Broker versões 6.0.0 a 6.2.5
Apache ActiveMQ All versões anteriores a 5.19.7
Apache ActiveMQ All versões 6.0.0 a 6.2.5
Apache ActiveMQ versões anteriores a 5.19.7
Apache ActiveMQ versões 6.0.0 a 6.2.5
Description
Um invasor autenticado pode obter a execução remota de código na Java Virtual Machine (JVM) do broker ao enviar um Identificador Uniforme de Recurso (URI) de descoberta especialmente manipulado para a ponte Jolokia JMX-HTTP, exposta no endpoint
/api/jolokia/ no console web. A política de acesso padrão do Jolokia permite operações de execução em MBeans do ActiveMQ, especificamente as funções addNetworkConnector(String) e addConnector(String) do BrokerService. Ao manipular o parâmetro brokerConfig do transporte VM, um invasor pode forçar o sistema a carregar um contexto de aplicação Spring XML remoto usando ResourceXmlApplicationContext. Como este componente instancia beans singleton antes que a configuração seja validada, códigos arbitrários podem ser executados via métodos de fábrica de beans, como Runtime.exec(). Este problema foi explorado em incidentes reais.Recommendations
Atualize o Apache ActiveMQ Broker para a versão 5.19.7 ou 6.2.6.
Atualize o Apache ActiveMQ All para a versão 5.19.7 ou 6.2.6.
Atualize o Apache ActiveMQ para a versão 5.19.7 ou 6.2.6.
Restrinja ou desative o uso do endpoint
/api/jolokia/.
Aplique autenticação forte e políticas de acesso rigorosas para o Jolokia.
Restrinja o acesso ao console web a redes de gerenciamento confiáveis.
Execute o software com o menor privilégio necessário para operar.Exploit
Correção
RCE
LPE
OS Command Injection
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Activemq