Validación de entrada incorrecta en ActiveMQ de Apache
Todas la versiones anteriores a 5.19.4 y las versiones comprendidas entre 6.0.0 y 6.2.3 de:
- Apache ActiveMQ Broker (org.apache.activemq:activemq-broker);
- Apache ActiveMQ (org.apache.activemq:activemq-all);
- Apache ActiveMQ Classic.
Naveen Sunkavally de Horizon3.ai ha informado sobre 1 vulnerabilidad de severidad alta que, en caso de ser explotada podría permitir a un atacante obtener un archivo de configuración remoto y ejecutar comandos arbitrarios del sistema operativo. Esta vulnerabilidad ha permanecido oculta durante 13 años.
Se tiene constancia de la explotación activa de esta vulnerabilidad por lo que se recomienda encarecidamente actualizar a la versión 5.19.4 o 6.2.3.
CVE-2026-34197: validación de entrada incorrecta que conlleva poder inyectar código en Apache ActiveMQ Broker, Apache ActiveMQ. Apache ActiveMQ Classic por la exposición del puente Jolokia JMX-HTTP en '/api/jolokia/' en la consola web que podría permitir a un atacante remoto invocar algunas operaciones con una URI para activar el parámetro brokerConfig del transporte de VM para cargar un contexto de aplicación XML de Spring remoto usando ResourceXmlApplicationContext.
En algunas versiones (6.0.0–6.1.1), no se requieren credenciales debido a otra vulnerabilidad, CVE-2024-32114, que expone inadvertidamente la API de Jolokia sin autenticación.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-34197 | Alta | Sí | Apache |
