Zraniteľnosť Apache ActiveMQ Classic umožňuje vykonávanie kódu

April 9, 2026

Vývojári opravili vysoko závažnú zraniteľnosť v open-source serveri Apache ActiveMQ Classic, ktorá umožňuje vzdialené vykonávanie kódu. Chyba sa v serveri nachádzala 13 rokov.

Zraniteľné systémy:

Apache ActiveMQ / Broker, verzie staršie ako 5.19.4
Apache ActiveMQ / Broker, verzie 6.x.x staršie ako 6.2.3

Opis činnosti:

CVE-2026-34197 (CVSS skóre 8,8)

Populárny server pre message brokering, Apache ActiveMQ Classic, obsahuje 13 rokov starú zraniteľnosť, ktorá po úspešnom zneužití umožňuje vzdialenému útočníkovi s nízkymi oprávneniami vykonávať ľubovoľné príkazy operačného systému.

Chyba vyplýva z neošetrenej kooperácie medzi nezávisle vyvíjanými komponentmi. Rozhranie API komponentu Jolokia je dostupné z webovej manažmentovej konzoly (Jetty web server). To umožňuje v rámci funkcie BrokerService.addNetworkConnector nahrávať konfiguráciu z externých zdrojov. Autentifikovaný útočník môže vďaka tomu vytvoriť špeciálnu požiadavku s využitím parametru brokerConfig protokolu VM a nahrať súbor Spring XML. Vzhľadom na to, že funkcia Spring ResourceXmlApplicationContext iniciuje jeho obsah ešte pred kontrolou konfigurácie, ktorú vykonáva súčasť BrokerService, vzniká priestor kde je možné vykonať ľubovoľný kód.

Verzie Apache ActiveMQ Classic 6.0.0 až 6.1.1 zvyšujú nebezpečenstvo zneužitia, pretože obsahujú zraniteľnosť CVE-2024-32114. Jej zreťazením s CVE-2026-34197 môže útočník obísť potrebu autentifikácie.

Možné škody:

Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia Apache ActiveMQ a Apache ActiveMQ Broker aspoň na verziu 5.19.4 alebo 6.2.3.

Pre overenie prítomnosti pokusov o zneužitie zraniteľnosti preverte v broker logu podozrivé spojenia, ktoré využívajú protokol VM (vm://) a dopytový parameter „brokerConfig=xbean:http://“.

Odkazy: