文章总结： ClaudeAI在10分钟内发现ApacheActiveMQClassic存在13年的高危RCE漏洞CVE-2026-34197，该漏洞通过JolokiaJMX-HTTP桥接组件暴露，攻击者可利用addNetworkConnector操作结合brokerConfig参数实现命令执行。受影响版本包括5.x至6.1.1，其中6.0.0-6.1.1版本因CVE-2024-32114可无需认证直接利用。建议立即升级至5.19.4/6.2.3版本，并监控异常网络连接与进程活动。 综合评分： 90 文章分类： 漏洞分析,AI安全,威胁情报,WEB安全,解决方案

Claude 10分钟揪出Apache ActiveMQ潜伏13年的高危RCE漏洞

FreeBuf

2026年4月10日 18:06 上海

在小说阅读器读本章

去阅读

#

Apache ActiveMQ Classic 近日披露了一个存在十多年未被发现的严重远程代码执行（RCE）漏洞。值得注意的是，这个漏洞并非由人工代码审计发现，而是 Anthropic 公司的 Claude AI 模型在不到 10 分钟内识别出来的。

该漏洞编号为 CVE-2026-34197，属于输入验证不当和代码注入漏洞，存在于 Apache ActiveMQ Classic 的 Jolokia JMX-HTTP 桥接组件中，通过 8161 端口的/api/jolokia/网络控制台暴露。

#

Part01

漏洞利用机制

攻击者通过身份验证后，可以调用代理 MBean 上的addNetworkConnector(String)管理操作，并构造包含攻击者控制的brokerConfig=xbean:http://参数的 VM 传输 URI。

当 ActiveMQ 的 VM 传输层处理该 URI 时，会通过调用BrokerFactory.createBroker()使用攻击者提供的 URL 动态创建嵌入式代理。xbean:方案随后将 URL 传递给 Spring 的ResourceXmlApplicationContext，该组件会实例化远程 XML 文件中的所有 bean 定义——最终通过 Spring 的MethodInvokingFactoryBean调用Runtime.getRuntime().exec()实现任意操作系统命令执行。

Part02

漏洞根源与影响范围

漏洞根源可追溯至对 CVE-2022-41678 的修复措施——当时 Apache 为保留网络控制台功能，为 ActiveMQ 自有 MBeans（org.apache.activemq:*）的所有操作添加了全局 Jolokia 允许规则。这一决策无意中通过 Jolokia 的 REST API 开放了包括addNetworkConnector在内的所有管理操作作为攻击面。

虽然 CVE-2026-34197 在多数部署环境中需要有效凭证，但企业环境中普遍存在默认凭证（admin:admin）。更严重的是，运行 6.0.0 至 6.1.1 版本 ActiveMQ 的组织面临完全无需认证的 RCE 攻击路径——由于另一个漏洞 CVE-2024-32114 意外移除了这些版本中/api/*路径的身份验证约束，使得 Jolokia 端点完全无需凭证即可访问。

Part03

历史背景与发现过程

ActiveMQ 在现实攻击中具有丰富的被利用历史，CVE-2016-3088（通过网络控制台的认证 RCE）和 CVE-2023-46604（通过代理端口的未认证 RCE）均被列入 CISA 已知被利用漏洞（KEV）目录。

Horizon3.ai 研究人员证实，该漏洞是在 AI 辅助的源代码审查过程中由 Claude AI 发现的。通过为 Claude 提供轻量级的漏洞挖掘提示和实时验证目标，研究团队使 AI 在约 10 分钟内就追踪到跨越 Jolokia、JMX、网络连接器和 VM 传输的多组件攻击链。分析指出，人工研究员可能需要整整一周时间才能手动完成相同工作，这凸显了 AI 模型如何从根本上降低漏洞研究的门槛。

Part04

缓解措施

企业应监控 ActiveMQ 代理日志中涉及包含brokerConfig=xbean:http的vm://URI 条目、向/api/jolokia/发送包含addNetworkConnector的 POST 请求，以及 ActiveMQ 进程发起的异常出站 HTTP 连接。防御者还需关注 ActiveMQ JVM 产生的异常子进程。

该漏洞已在 ActiveMQ Classic 5.19.4 和 6.2.3 版本中修复，补丁完全移除了通过 Jolokia API 注册vm://传输的addNetworkConnector功能。所有运行受影响版本的组织应立即更新，并审计所有 ActiveMQ 实例中的默认凭证使用情况。

参考来源：

Claude Uncovers 13-Year-Old RCE Flaw in Apache ActiveMQ in Just 10 Minutes

Claude Finds 13-Year-Old 0-Day RCE Vulnerability in Apache ActiveMQ in 10 Minutes

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《Claude 10分钟揪出Apache ActiveMQ潜伏13年的高危RCE漏洞》