文章总结： CVE-2026-42588是ApacheActiveMQClassic中Jolokia组件的高危远程代码执行漏洞，CVSS评分8.1。攻击者通过低权限账号构造恶意Jolokia请求，利用BrokerService的addNetworkConnector方法触发SpringXML加载，最终在JVM进程中执行系统命令。漏洞影响5.16.7至5.19.6和6.0.0至6.2.5版本，建议升级至5.19.7/6.2.6或通过收紧Jolokia策略、修改默认密码等措施缓解风险。 综合评分： 85 文章分类： 漏洞分析,解决方案,应急响应,安全工具,技术标准

CVE-2026-42588 ​ApacheActiveMQ Jolokia 远程代码执行漏洞分析

原创

信息安全新动态 信息安全新动态

信息安全新动态

2026年6月22日 09:01 江西

在小说阅读器读本章

去阅读

一、漏洞概述

2026 年 6 月 1 日，Apache 官方正式披露了 Apache ActiveMQ Classic 中的高危远程代码执行漏洞，编号为CVE-2026-42588，CVSS 评分为 8.1。该漏洞存在于 ActiveMQ Web 控制台内置的 Jolokia JMX-HTTP 桥接组件中，源于默认访问策略过于宽松与输入校验机制缺失的组合缺陷。

经过身份验证的攻击者（仅需 Web 控制台低权限账号）可通过构造恶意 Jolokia API 请求，调用 BrokerService 的 addNetworkConnector 方法触发 Spring XML 上下文加载，最终在 ActiveMQ Broker 的 JVM 进程中执行任意系统命令。由于 ActiveMQ 广泛部署于企业级消息队列、分布式系统与微服务架构的核心链路，该漏洞一旦被成功利用，攻击者可直接控制消息中间件，进而窃取业务数据或向内部网络横向渗透，风险影响范围极大。

二、背景知识

1.Apache ActiveMQ

Apache ActiveMQ 是 Apache 软件基金会维护的开源消息中间件，是目前最主流的 JMS（Java Message Service）实现之一。它支持多语言客户端与 OpenWire、Stomp、AMQP 等多种通信协议，具备消息持久化、主从集群、延迟投递等企业级特性，被广泛应用于金融交易、订单系统、物联网消息总线等场景，承担着系统解耦、异步通信与流量削峰的核心作用。

2.Jolokia JMX-HTTP 桥接

Jolokia 是一个 JMX-HTTP 桥接组件，它将 Java JMX（Java Management Extensions）的管理能力通过 RESTful HTTP 接口对外暴露，允许用户通过 HTTP 请求调用 MBean 的属性与方法，实现对 Java 应用的远程运维管理。在 ActiveMQ 中，Jolokia 默认部署在 Web 控制台的/api/jolokia/路径下，默认账号密码为 admin/admin，是运维人员管理 Broker 节点的核心入口。

三、漏洞原理深度分析

1.根本成因

CVE-2026-42588 本质上是 \ 输入验证不当（CWE-20）与代码生成控制不当（CWE-94）\ 共同作用的结果，核心缺陷可归纳为三点：

(1)默认 Jolokia 访问策略过于宽松：默认配置允许对所有org.apache.activemq:*命名空间下的 MBean 执行 exec 操作，包括高危的BrokerService.addNetworkConnector(String)方法，未对可调用 MBean 范围做最小权限限制。

(2)addNetworkConnector 方法输入校验缺失：该方法用于添加网络连接器，其接收的 discovery URI 参数未做严格的协议白名单校验，攻击者可通过构造特殊协议前缀的 URI 触发深层的配置加载逻辑。

(3)Spring 配置加载时序缺陷：VM 传输层的brokerConfig参数会调用 Spring 的ResourceXmlApplicationContext加载 XML 配置，而该类会在 BrokerService 完成配置合法性校验之前，提前实例化所有单例 Bean，为恶意 Bean 的执行提供了时序窗口。

2.完整攻击链路

攻击者的完整利用路径如下：

(1)身份认证：使用合法的 Web 控制台账号（低权限即可）访问 Jolokia 接口，获取 MBean 操作权限。

(2)调用 MBean 方法：通过 Jolokia 的 exec 操作调用BrokerService.addNetworkConnector方法，传入精心构造的masterslave://协议 URI。

(3)协议嵌套触发 VM 传输：masterslave://属于复合 URI 协议，可内部嵌套其他传输协议。攻击者在其中嵌套vm://协议，并通过brokerConfig参数指定 XML 配置文件路径。

(4)Spring XML 上下文加载：VM 传输层解析到brokerConfig参数后，调用ResourceXmlApplicationContext加载指定的 XML 配置文件。

(5)恶意 Bean 实例化执行代码：Spring 容器在配置校验前实例化所有单例 Bean，攻击者构造的恶意 Bean 通过工厂方法调用Runtime.exec()执行系统命令，最终实现远程代码执行。

值得注意的是，该漏洞是 ActiveMQ Jolokia 攻击链的延续 —— 在此之前，社区已先后披露 CVE-2026-34197、CVE-2026-40466 等多个同类漏洞，官方均通过 “协议黑名单” 方式封堵。而 CVE-2026-42588 正是通过绕过黑名单，利用未被封禁的masterslave://协议作为跳板，再次打通了代码执行路径。

四、影响范围

根据 Apache 官方公告，该漏洞影响以下版本的 Apache ActiveMQ：

数据来源：Apache 官方安全公告

五、利用条件与风险场景

1.利用前提

(1)可访问 Web 控制台：目标 8161 端口的 Web 控制台可被攻击者访问，且/api/jolokia/接口未被屏蔽。

(2)拥有有效账号：掌握 Web 控制台的合法账号密码，默认账号admin/admin是最高危的攻击入口。

(3)XML 文件可达：构造的恶意 XML 配置文件需能被目标服务器加载，可通过远程 HTTP 资源或本地文件写入实现。

2.风险场景

• 外网暴露实例：直接暴露在公网的 ActiveMQ 控制台，若使用弱口令或默认口令，极易被攻击者批量扫描利用。

•内部攻防演练：在内网渗透场景中，攻击者获取低权限账号后即可通过该漏洞拿下消息中间件节点，作为横向渗透的跳板。

• 供应链风险：嵌入 ActiveMQ 组件的第三方业务系统，若未及时同步版本升级，也会受到该漏洞影响。

六、修复与防护方案

1.根本修复方案

升级至官方安全版本是最彻底的修复方式。Apache 官方在 5.19.7 与 6.2.6 版本中从入口侧收紧了 Jolokia 可调用 MBean 范围，同时完善了 URI 协议校验机制，从根源上封堵了此类攻击链路。建议用户根据当前使用的分支版本，尽快升级至对应安全版本。

2.临时缓解措施

若暂时无法完成版本升级，可通过以下措施降低风险：

(1)收紧 Jolokia 访问策略：修改 Jolokia 配置文件，限制可执行操作的 MBean 范围，禁用BrokerService.addNetworkConnector等高危方法的 exec 权限。

(2)修改默认账号密码：立即修改 Web 控制台的默认账号密码，使用强口令策略，避免被暴力破解。

(3)网络访问控制：通过防火墙或安全组限制 8161 端口的访问来源，仅允许可信运维 IP 访问 Web 控制台与 Jolokia 接口。

(4)禁用不必要功能：若业务未使用网络连接器功能，可直接关闭相关配置，消除攻击入口。

3.纵深防护建议

(1)WAF 规则防护：在 Web 应用前置部署 WAF，添加针对 Jolokia 接口恶意请求的检测规则，拦截包含masterslave://、brokerConfig等特征的攻击载荷。

(2)进程权限收敛：降低 ActiveMQ Broker 进程的系统运行权限，禁止其执行高危系统命令，减少漏洞被利用后的攻击影响面。

(3)常态化漏洞扫描：将 ActiveMQ 组件纳入常态化漏洞扫描范围，及时发现并修复存量安全风险。

参考链接

[1] Apache 官方安全公告：https://lists.apache.org/thread/ns0zktfo16s9ql2mmtqtlb6p6xcs45xm [2] CVE 详情页：https://www.cve.org/CVERecord?id=CVE-2026-42588 [3] FreeBuf 技术分析：https://www.freebuf.com/articles/web/486117.html [4] 腾讯云安全通告：https://cloud.tencent.com/developer/article/2686794 [5] Snyk 漏洞信息：https://security.snyk.io/vuln/SNYK-DEBIAN11-ACTIVEMQ-17117809

声明

转载声明：本平台部分公开资料源于互联网，转载是为传递信息和网络分享，不代表平台观点，也不保证真实性、不提供建议。除原创及特别说明外，推送内容来自网络和主流媒体，版权归原作者。若发现侵权，请联系我们，将尽快核实并删除。

网络安全，人人有责

信息安全新动态

微信号丨ThinventS2

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息安全新动态 信息安全新动态 信息安全新动态《CVE-2026-42588 ​ApacheActiveMQ Jolokia 远程代码执行漏洞分析》