网络安全研究机构Horizon3.ai近日披露,开源消息中间件Apache ActiveMQ Classic存在一个代号为CVE-2026-34197的远程代码执行(RCE)漏洞。该漏洞已潜伏在软件中长达13年,影响广泛的金融、医疗及政府机构。
该漏洞的核心在于ActiveMQ内置的Jolokia API。Jolokia作为HTTP到JMX的桥接器,旨在提供远程管理功能。研究人员Naveen Sunkavally指出,攻击者可以通过调用Jolokia API中的“addNetworkConnector”操作,强制代理服务器获取并执行外部的Spring XML配置文件,进而实现远程代码执行。
漏洞成因及利用方式
ActiveMQ的配置允许通过URI建立代理间的连接。漏洞的触发点在于“vm://”传输协议,该协议原本用于在单个JVM内部嵌入代理。当攻击者构造特定的URI并将其作为参数传入时,ActiveMQ会尝试实例化一个不存在的代理,并根据攻击者指定的远程URL加载配置文件。
Horizon3.ai的分析显示,尽管早期的安全更新限制了Jolokia对危险MBeans的访问,但由于ActiveMQ自身MBeans的权限配置过于宽泛,导致攻击者依然能够利用这一机制。在某些版本(6.0.0至6.1.1)中,由于CVE-2024-32114漏洞导致的身份验证缺失,攻击者甚至无需登录凭据即可直接执行攻击。
该漏洞的利用门槛较低。如果系统处于默认配置状态,攻击者仅需通过简单的HTTP POST请求即可接管服务器。在其他已配置凭据的环境中,若管理员未修改默认的“admin:admin”凭据,攻击者同样能够轻松获取权限。
Apache ActiveMQ作为分布式系统中的关键中间件,此前已多次成为黑客攻击的目标。CVE-2016-3088和CVE-2023-46604等历史漏洞均曾被列入美国网络安全与基础设施安全局(CISA)的已知被利用漏洞目录(KEV)。
目前,Apache软件基金会已发布针对性修复方案。官方建议相关组织尽快将ActiveMQ升级至6.2.3或5.19.4版本。鉴于该漏洞的严重性和活跃的攻击手段,Horizon3.ai强调,企业应将此更新视为安全工作的最高优先级任务。
