CVE-2026-34197 in ActiveMQ Brokerالمعلومات

الملخص

بحسب VulDB • 20/06/2026

ثغرة في التحقق من صحة الإدخال بشكل غير لائق، والتحكم غير السليم في توليد الكود ('حقن الكود') في وسيط Apache ActiveMQ Broker، Apache ActiveMQ.

يكشف Apache ActiveMQ Classic عن جسر Jolokia JMX-HTTP عند المسار /api/jolokia/ في وحدة التحكم عبر الويب. تسمح سياسة الوصول الافتراضية لـ Jolokia بتنفيذ عمليات exec على جميع MBeans الخاصة بـ ActiveMQ (org.apache.activemq:*)، بما في ذلك BrokerService.addNetworkConnector(String) و BrokerService.addConnector(String).

يمكن لمهاجم مُصادَق عليه استدعاء هذه العمليات باستخدام عنوان URI لاكتشاف مُصنَّف بعناية، مما يؤدي إلى تفعيل معلمة brokerConfig في نقل VM لتحميل سياق تطبيق Spring XML البعيد باستخدام ResourceXmlApplicationContext. ونظراً لأن ResourceXmlApplicationContext في Spring يقوم بتجميع جميع الكائنات أحادية النسخ (singleton beans) قبل أن يقوم BrokerService بالتحقق من صحة التكوين، فإن ذلك يؤدي إلى تنفيذ كود تعسفي على JVM الخاص بالوسيط من خلال طرق مصنع الكائنات مثل Runtime.exec().

تؤثر هذه المشكلة على Apache ActiveMQ Broker: قبل الإصدار 5.19.4، ومن الإصدار 6.0.0 قبل 6.2.3؛ Apache ActiveMQ: .

يُنصح المستخدمين بالترقية إلى الإصدار 5.19.5 أو 6.2.3، الذي يصلح هذه المشكلة.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!