文章总结： ApacheActiveMQJolokia组件存在远程代码执行漏洞CVE-2026-42588，攻击者可通过Jolokia端点调用addNetworkConnector方法加载恶意Spring配置实现任意命令执行。漏洞影响5.19.7以下和6.0.0-6.2.6版本，利用复杂度低且EXP已公开。建议立即升级至5.19.7/6.2.6或通过禁用Jolokia、限制访问权限等措施临时缓解。 综合评分： 87 文章分类： 漏洞预警,漏洞分析,解决方案,应急响应,安全运营

漏洞预警 | Apache ActiveMQ Jolokia 远程代码执行漏洞（CVE-2026-42588）

原创

Beacon Tower Lab Beacon Tower Lab

Beacon Tower Lab

2026年6月3日 18:14 四川

在小说阅读器读本章

去阅读

一、漏洞概述

| | | | — | — | | 漏洞类型 | 代码注入 | | 漏洞等级 | 高危 | | 漏洞编号 | CVE-2026-42588 _ | | 漏洞评分 | 8.8 | | 利用复杂度 | 低 | | 影响版本 | ActiveMQ < 5.19.7、6.0.0 ~ < 6.2.6 | | 利用方式 | 远程 | | POC/EXP | 已公开 |

近期，互联网上披露了 Apache ActiveMQ Jolokia 远程代码执行漏洞（CVE-2026-42588）。攻击者可通过 Jolokia JMX-HTTP 桥接端点调用 addNetworkConnector 方法，利用 VM Transport 的 brokerConfig 参数加载远程恶意 Spring XML 配置文件，触发任意命令执行。该漏洞无需用户交互，仅需低权限认证凭据即可利用，建议尽快开展安全风险自查。

Apache ActiveMQ 是 Apache 软件基金会开发的开源消息中间件，广泛应用于企业级异步消息通信、系统集成和微服务架构，支持 JMS、AMQP、MQTT 等多种协议。其 Web Console 默认集成 Jolokia 组件，提供 JMX 管理 HTTP 接口。

据描述，攻击者通过 ActiveMQ Web Console 默认暴露的 Jolokia 端点（/api/jolokia/），调用 BrokerService MBean 的 addNetworkConnector 方法，传入精心构造的 masterslave: 协议 URI，利用 VM Transport 解析 brokerConfig 参数时加载攻击者控制的远程 Spring XML 配置，Spring 容器在实例化 singleton bean 阶段执行 ProcessBuilder.start()，从而在 BrokerService 配置校验之前即完成任意命令执行。

漏洞影响的产品和版本：

• Apache ActiveMQ Classic < 5.19.7
• Apache ActiveMQ Classic 6.0.0 ~ < 6.2.6

二、漏洞复现

三、资产测绘

据daydaymap数据显示互联网存在52,342个资产，国内风险资产分布情况如下。

全球分布：

国内分布：

四、解决方案

1、升级修复（推荐）

• 升级 Apache ActiveMQ 至 5.19.7 或 6.2.6 及以上版本。

2、官临时缓解措施（无法立即升级时）

• 禁用 Jolokia Servlet：在 webapps/api/WEB-INF/web.xml 中移除 Jolokia servlet mapping
• 限制 Web Console 仅内网访问（通过网络层或反向代理）
• 更改默认凭据，禁用低权限账户的管理操作
• 自定义 Jolokia 访问策略，拒绝 exec 操作：org.apache.activemq:*exec

五、参考链接

https://activemq.apache.org/security-advisories.data/CVE-2026-42588-announcement.txthttps://www.securityonline.info/cve-2026-42588-apache-activemq-rce/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Beacon Tower Lab Beacon Tower Lab Beacon Tower Lab《漏洞预警 | Apache ActiveMQ Jolokia 远程代码执行漏洞（CVE-2026-42588）》