文章总结： 安全研究人员利用ClaudeAI发现ApacheActiveMQClassic中存在一个已存在13年的远程代码执行漏洞CVE-2026-34197（CVSS8.8），影响5.19.4之前和6.0.0-6.2.3版本。攻击者可通过JolokiaAPI滥用addNetworkConnector函数加载恶意Spring配置执行系统命令，部分版本因CVE-2024-32114无需认证。建议用户立即升级至修复版本5.19.4/6.2.3，并检查日志中VM传输连接和brokerConfig=http://可疑请求。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,WEB安全,解决方案,安全运营

已存在13年的Apache ActiveMQ 严重漏洞可用于远程执行命令

Bill Toulas Bill Toulas

代码卫士

2026年4月9日 18:37 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

安全研究人员利用 Claude AI 助手，从 Apache ActiveMQ Classic 中发现了一个远程代码执行 (RCE) 漏洞CVE-2026-34197（CVSS评分8.8）。该漏洞已存在13年之久，可用于执行任意命令。该漏洞影响 Apache ActiveMQ/Broker 5.19.4之前以及从6.0.0到6.2.3的所有版本。

Apache ActiveMQ 是一个用 Java 编写的开源消息中间件，通过消息队列或主题来实现异步通信。尽管 ActiveMQ 已推出性能更优的新版 Artemis 分支，但受该漏洞影响的 Classic 版本仍广泛部署于各类基于 Java 构建的企业系统、Web 后端以及政府、公司内部系统中。

Horizon3 公司的研究员 Naveen Sunkavally 表示，他“仅通过几次基础提示词”就借助 Claude 发现了这个问题，“这个成果八成归功于 Claude，剩下两成是人工包装润色。”Sunkavally 指出，Claude 在逐一分析了多个独立组件（Jolokia、JMX、网络连接器以及 VM 传输协议）后，很快就定位到了该漏洞。他提到，“每个功能单独来看都符合预期，但把它们组合在一起就产生了危险。这正是 Claude 大显身手的地方——它能毫无预设偏见且思路清晰地将这条攻击路径从头到尾串联起来。”该研究员于 3 月 22 日向 Apache 维护人员报告了这一漏洞，后者在 3 月 30 日发布的ActiveMQ Classic 6.2.3 和 5.19.4 版本中修复了该漏洞。

Horizon3 发布技术报告指出，该漏洞的根源在于 ActiveMQ 的 Jolokia 管理 API 暴露了函数addNetworkConnector，可滥用于加载外部配置。攻击者可通过发送精心构造的请求，强制消息代理拉取一个远程 Spring XML 文件，并在初始化过程中执行任意系统命令。

触发该漏洞通常需要经过 Jolokia 的身份认证，但由于另一个漏洞 CVE-2024-32114（该漏洞导致 API 在没有访问控制的情况下被暴露）的存在， 6.0.0 至 6.1.1 版本无需进行认证。

研究人员指出，最新披露的漏洞风险不容小觑，并援引了其他已被黑客用于真实攻击的 ActiveMQ 高危漏洞。研究人员提到，“我们建议所有运行 ActiveMQ 的组织机构优先处理该漏洞，因为 ActiveMQ 一直是真实攻击场景中被反复利用的目标，而且针对它的利用及后渗透方法已经相当成熟。无论是影响 Web 控制台的认证 RCE 漏洞 CVE-2016-3088，还是影响 Broker 端口的未认证 RCE 漏洞 CVE-2023-46604，均已被列入美国 CISA 的已知遭利用漏洞目录（KEV）。”

尽管目前尚未有报告显示 CVE-2026-34197 已遭积极利用，但研究人员指出，已在 ActiveMQ Broker 的日志中清晰看到漏洞利用迹象。建议排查使用内部传输协议 VM 的可疑 Broker 连接，以及包含 “brokerConfig=xbean:http://”查询参数的请求。命令执行会在多次连接尝试过程中触发。研究人员表示，如果系统出现了关于配置问题的警告信息，则意味着恶意载荷已经被执行。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

Apache Syncope 漏洞可用于劫持用户会话

Apache Struts 2 严重 XXE 漏洞可用于窃取敏感数据

Apache StreamPipes 严重漏洞可用于获取管理员权限

速修复！Apache Tika 中存在严重的满分XXE 漏洞

Apache Tomcat 漏洞导致服务器易受RCE攻击

原文链接

https://www.bleepingcomputer.com/news/security/13-year-old-bug-in-activemq-lets-hackers-remotely-execute-commands/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Bill Toulas Bill Toulas《已存在13年的Apache ActiveMQ 严重漏洞可用于远程执行命令》