更新時間:2026/04/20 17:48:33
發佈時間:2026/04/20 17:48:33
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明 [1][2]
Apache ActiveMQ Classic存在不當輸入驗證與程式碼注入漏洞(CVE-2026-34197)。該軟體於網頁管理主控台(Web Console)透過 /api/jolokia/ 暴露 Jolokia JMX-HTTP橋接介面,且 Jolokia 存取控制政策預設允許對ActiveMQ MBean(org.apache.activemq:*)執行exec操作。
經身分驗證的攻擊者可透過特製Discovery URI,操控VM傳輸機制的brokerConfig參數,使系統載入遠端Spring XML設定。由於Spring在BrokerService驗證設定前即完成bean初始化,攻擊者可藉此於broker所在的JVM環境中執行任意程式碼,導致遠端程式碼執行(RCE)。
此外,於Apache ActiveMQ Classic 6.0.0至6.1.1版本中,因另一漏洞(CVE-2024-32114)導致攻擊者無需身分驗證即可存取 /api/* 路徑(含Jolokia端點),進而可直接利用本漏洞(CVE-2026-34197)發動遠端程式碼執行攻擊。
二、已揭露攻擊活動說明
1. CISA已納入漏洞利用清單。[3]
2. GitHub已有PoC程式碼。[4]
▶ 漏洞資訊
⌵
名稱:
CVE-2026-34197
描述:
使用版本:CVSS 3.1
分析分數:8.8
參考來源:CISA-ADP
▶ 影響平台
⌵
影響平台-系統:
1. Apache ActiveMQ Classic(包含 activemq-broker 與 activemq-all 元件) 5.19.4(不含)以前版本受影響,建議升級至5.19.4或以上版本。
2. Apache ActiveMQ Classic(包含 activemq-broker 與 activemq-all 元件)6.0.0至6.2.3(不含)版本受影響,建議升級至6.2.3或以上版本。
▶ 建議措施
⌵
1. 官方已發布修補程式,建議會員依據單位內漏洞管理機制進行相關作業。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt | Apache |
| 2 | https://nvd.nist.gov/vuln/detail/CVE-2026-34197 | NVD |
| 3 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
| 4 | https://github.com/dinosn/CVE-2026-34197 | GitHub |
情資編號:
FISAC-200-202604-0006
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞