文章总结： ApacheActiveMQ存在高危远程代码执行漏洞CVE-2026-42588（CVSS8.1），认证攻击者可通过Jolokia接口构造恶意请求触发VM传输参数配置，利用Spring容器加载外部恶意配置文件实现任意命令执行。影响版本包括5.x系列低于5.19.7及6.0.0至6.2.6之前的版本。建议用户立即升级至5.19.7或6.2.6以上安全版本，360漏洞研究院已成功复现并提供相关检测支持。 综合评分： 95 文章分类： 漏洞分析,漏洞预警,解决方案,实战经验,应用安全

Apache ActiveMQ 高危 RCE｜CVE-2026-42588 已复现

原创

360漏洞研究院 360漏洞研究院

360漏洞研究院

2026年6月2日 17:45 四川

在小说阅读器读本章

去阅读

Apache ActiveMQ 曝出代码注入漏洞（CVE-2026-42588，CVSS 8.1），认证攻击者通过构造特制请求触发 VM 传输的参数配置，可利用 Spring 容器加载恶意外部配置文件，在服务端 JVM 中实现任意代码执行。

利用前置条件：

• Jolokia 接口可被访问
• 具备有效的 Web 控制台认证凭据

目前 360漏洞挖掘智能体已成功复现该漏洞。本文包含完整影响范围、修复方案、技术原理与复现细节，建议用户立即升级。

| | | | | | — | — | — | — | | 漏洞概述 | | | | | 漏洞名称 | Apache ActiveMQ 远程代码执行漏洞 | | | | 漏洞编号 | CVE-2026-42588 | | | | 公开时间 | 2026-06-01 | POC状态 | 未公开 | | 漏洞类型 | 代码注入 | EXP状态 | 未公开 | | 利用可能性 | 高 | 技术细节状态 | 已公开 | | CVSS 3.1 | 8.1 | 在野利用状态 | 未发现 |

01

漏洞影响范围

受影响的软件版本：

Apache ActiveMQ Broker / All < 5.19.7

6.0.0 <= Apache ActiveMQ Broker / All < 6.2.6

02

修复建议

正式防护方案

受影响用户请尽快升级至以下安全版本：

Apache ActiveMQ 5.19.7 或更高版本

Apache ActiveMQ 6.2.6 或更高版本

03

漏洞描述

近日，Apache 披露了 Apache ActiveMQ 中存在的代码注入漏洞（CVE-2026-42588）。由于 Apache ActiveMQ Classic 在 Web 控制台的 /api/jolokia/ 路径下默认暴露了 Jolokia JMX-HTTP 桥接服务，且其默认访问策略过于宽松，允许对所有 ActiveMQ MBeans 执行 exec 操作。具备认证权限的攻击者可通过调用 BrokerService.addNetworkConnector(String) 方法，传入带有恶意特制发现 URI 的 masterslave:// 链接，间接触发 VM 传输的 brokerConfig 参数。这将导致系统使用 ResourceXmlApplicationContext 加载外部恶意的 Spring XML 应用程序上下文。在 BrokerService 验证配置之前，Spring 框架会实例化该上下文中的所有单例 Bean，从而允许攻击者通过诸如 Runtime.exec() 等 Bean 工厂方法在代理的 JVM 中执行任意命令，最终接管服务器。

04

漏洞复现

360漏洞研究院已复现 Apache ActiveMQ 远程代码执行漏洞（CVE-2026-42588）。攻击者通过凭据登录 Web 控制台后，可利用 Jolokia 接口注入恶意的外部 Spring XML 地址，诱导系统 JVM 解析并执行任意系统命令。

CVE-2026-42588 Apache ActiveMQ 远程代码执行漏洞复现

05

产品侧支持情况

360安全智能体：支持该漏洞攻击的智能分析。

360测绘云 Quake：默认支持该产品的指纹识别。

360高级持续性威胁预警系统：预计 2026年06月03日发布规则更新包，支持该漏洞利用行为的检测。

360资产与漏洞检测管理系统：预计 2026年06月03日发布规则更新包，支持该漏洞利用行为的检测。 本地安全大脑：默认支持该漏洞的PoC检测。

06

时间线

2026年06月02日，360漏洞研究院发布本安全风险通告。

07

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2026-42588

08

更多漏洞情报

建议您订阅360数字安全-漏洞情报服务，获取更多漏洞情报详情以及处置建议，让您的企业远离漏洞威胁。

邮箱：[email protected]

网址：https://vi.loudongyun.360.net

“洞”悉网络威胁，守护数字安全

关于我们

360 漏洞研究院，隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”，并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个，收获诸多官方公开致谢。研究院也屡次受邀在BlackHat，Usenix Security，Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果，并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力，帮助各大企业厂商不断完善系统安全，为数字安全保驾护航，筑造数字时代的安全堡垒。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：360漏洞研究院 360漏洞研究院 360漏洞研究院《Apache ActiveMQ 高危 RCE｜CVE-2026-42588 已复现》