CVE-2026-34197

Nome do Software Vulnerável e Versões Afetadas Apache ActiveMQ Broker versões anteriores a 5.19.7 Apache ActiveMQ Broker versões 6.0.0 a 6.2.5 Apache ActiveMQ All versões anteriores a 5.19.7 Apache ActiveMQ All versões 6.0.0 a 6.2.5 Apache ActiveMQ versões anteriores a 5.19.7 Apache ActiveMQ versões 6.0.0 a 6.2.5

Description Um problema de validação inadequada de entrada e injeção de código existe no Apache ActiveMQ Classic. O software expõe a ponte Jolokia JMX-HTTP no endpoint '/api/jolokia/' no console web. A política de acesso padrão permite operações de execução em todos os MBeans do ActiveMQ, especificamente as funções BrokerService.addNetworkConnector(String) e BrokerService.addConnector(String). Um invasor autenticado pode usar uma URI de descoberta manipulada para acionar o parâmetro brokerConfig do transporte VM para carregar um contexto de aplicação Spring XML remoto via ResourceXmlApplicationContext. Como este contexto instancia beans singleton antes da validação da configuração, código arbitrário pode ser executado na JVM do broker através de métodos de fábrica de beans como Runtime.exec(). Este problema foi explorado em cenários reais. Wrappers de descoberta não parentetizados, como masterslave:vm://...,... e static:vm://..., podem ser usados para ignorar correções anteriores.

Recommendations Atualize o Apache ActiveMQ Broker, Apache ActiveMQ All e Apache ActiveMQ para a versão 5.19.7 ou 6.2.6. Restrinja ou desative as operações de execução do Jolokia e aplique autenticação forte e políticas rigorosas de Jolokia. Bloqueie ou limite o acesso de rede ao endpoint '/api/jolokia/' e restrinja o console web a redes de gerenciamento confiáveis.