PT-2026-30805 · Apache · Apache Activemq

Naveen Sunkavally

·

Publicado

2026-04-07

·

Atualizado

2026-07-04

·

CVE-2026-34197

CVSS v2.0

9.0

Alta

VetorAV:N/AC:L/Au:S/C:C/I:C/A:C
Nome do Software Vulnerável e Versões Afetadas Apache ActiveMQ Broker versões anteriores a 5.19.7 Apache ActiveMQ Broker versões 6.0.0 a 6.2.5 Apache ActiveMQ All versões anteriores a 5.19.7 Apache ActiveMQ All versões 6.0.0 a 6.2.5 Apache ActiveMQ versões anteriores a 5.19.7 Apache ActiveMQ versões 6.0.0 a 6.2.5
Description Um invasor autenticado pode obter a execução remota de código na Java Virtual Machine (JVM) do broker ao enviar um Identificador Uniforme de Recurso (URI) de descoberta especialmente manipulado para a ponte Jolokia JMX-HTTP, exposta no endpoint /api/jolokia/ no console web. A política de acesso padrão do Jolokia permite operações de execução em MBeans do ActiveMQ, especificamente as funções addNetworkConnector(String) e addConnector(String) do BrokerService. Ao manipular o parâmetro brokerConfig do transporte VM, um invasor pode forçar o sistema a carregar um contexto de aplicação Spring XML remoto usando ResourceXmlApplicationContext. Como este componente instancia beans singleton antes que a configuração seja validada, códigos arbitrários podem ser executados via métodos de fábrica de beans, como Runtime.exec(). Este problema foi explorado em incidentes reais.
Recommendations Atualize o Apache ActiveMQ Broker para a versão 5.19.7 ou 6.2.6. Atualize o Apache ActiveMQ All para a versão 5.19.7 ou 6.2.6. Atualize o Apache ActiveMQ para a versão 5.19.7 ou 6.2.6. Restrinja ou desative o uso do endpoint /api/jolokia/. Aplique autenticação forte e políticas de acesso rigorosas para o Jolokia. Restrinja o acesso ao console web a redes de gerenciamento confiáveis. Execute o software com o menor privilégio necessário para operar.

Exploit

Correção

RCE

LPE

OS Command Injection

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BDU:2026-04928
BIT-ACTIVEMQ-2026-34197
BIT-ACTIVEMQ-2026-40466
BIT-ACTIVEMQ-2026-45505
CVE-2026-34197
GHSA-RXPJ-7QVF-XV32
GHSA-W3W2-MPP5-92GM
OESA-2026-2124
OESA-2026-2125
OESA-2026-2126
OESA-2026-2127

Produtos afetados

Apache Activemq