CVE-2026-34197 in ActiveMQ Broker
Riassunto
di VulDB • 02/07/2026
Vulnerabilità di Convalida errata dell'input e Controllo improprio della generazione del codice ('Code Injection') in Apache ActiveMQ Broker, Apache ActiveMQ.
Apache ActiveMQ Classic espone il bridge JMX-HTTP di Jolokia su /api/jolokia/ nella console web. La policy di accesso predefinita di Jolokia consente operazioni exec su tutti gli MBean di ActiveMQ (org.apache.activemq:*), tra cui BrokerService.addNetworkConnector(String) e BrokerService.addConnector(String).
Un attaccante autenticato può invocare queste operazioni utilizzando un URI di scoperta manipolato che attiva il parametro brokerConfig del trasporto VM per caricare un contesto dell'applicazione Spring XML remoto tramite ResourceXmlApplicationContext. Poiché ResourceXmlApplicationContext di Spring istanzia tutti i bean singleton prima che BrokerService convalidi la configurazione, si verifica l'esecuzione arbitraria di codice sulla JVM del broker attraverso metodi della factory dei bean come Runtime.exec().
Questo problema interessa Apache ActiveMQ Broker: versione precedente a 5.19.4, da 6.0.0 a versione precedente a 6.2.3; Apache ActiveMQ All: versione precedente a 5.19.4, da 6.0.0 a versione precedente a 6.2.3; Apache ActiveMQ: versione precedente a 5.19.4, da 6.0.0 a versione precedente a 6.2.3.
Si consiglia agli utenti di effettuare l'aggiornamento alla versione 5.19.4 o 6.2.3, che risolve il problema.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.