关于Apache ActiveMQ远程代码执行漏洞（CVE-2026-34197）的预警提示

发布时间:2026-04-10

作者:

浏览次数:10

一、漏洞详情

Apache ActiveMQ是一款由Apache软件基金会开发的开源消息中间件，支持JMS、AMQP、MQTT、STOMP等多种消息协议。

近日，监测到官方修复Apache ActiveMQ 远程代码执行漏洞(CVE-2026-34197)，该漏洞源于Jolokia API对ActiveMQ MBean的权限配置过于宽松，允许调用addNetworkConnector操作。该操作能够接受包含brokerConfig参数的vm://传输URI，当连接到不存在的broker时，ActiveMQ会通过BrokerFactory.createBroker()加载远程Spring XML配置文件，从而执行其中的恶意代码。在ActiveMQ 6.0.0-6.1.1版本中可配合CVE-2024-32114实现未授权远程代码执行。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

Apache ActiveMQ Broker (activemq-broker) < 5.19.4

Apache ActiveMQ (activemq-all) < 5.19.4

6.0.0 <= Apache ActiveMQ Broker (activemq-broker) < 6.2.3

6.0.0 <= Apache ActiveMQ (activemq-all) < 6.2.3

三、修复建议

目前官方已有可更新版本，建议受影响用户升级至最新版本：

Apache ActiveMQ >=5.19.4

Apache ActiveMQ >= 6.2.3