Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Validación de entrada incorrecta en ActiveMQ de Apache
  • Gestión incorrecta de entradas en Virtual Lightweight Collector de Juniper

Validación de entrada incorrecta en ActiveMQ de Apache

Fecha09/04/2026
Importancia4 - Alta
Recursos Afectados

Todas la versiones anteriores a 5.19.4 y las versiones comprendidas entre 6.0.0 y 6.2.3 de:

  • Apache ActiveMQ Broker (org.apache.activemq:activemq-broker);
  • Apache ActiveMQ (org.apache.activemq:activemq-all);
  • Apache ActiveMQ Classic.
Descripción

Naveen Sunkavally de Horizon3.ai ha informado sobre 1 vulnerabilidad de severidad alta que, en caso de ser explotada podría permitir a un atacante obtener un archivo de configuración remoto y ejecutar comandos arbitrarios del sistema operativo. Esta vulnerabilidad ha permanecido oculta durante 13 años.

Solución

Se tiene constancia de la explotación activa de esta vulnerabilidad por lo que se recomienda encarecidamente actualizar a la versión 5.19.4 o 6.2.3.

Detalle

CVE-2026-34197: validación de entrada incorrecta que conlleva poder inyectar código en Apache ActiveMQ Broker, Apache ActiveMQ. Apache ActiveMQ Classic por la exposición del puente Jolokia JMX-HTTP en '/api/jolokia/' en la consola web que podría permitir a un atacante remoto invocar algunas operaciones con una URI para activar el parámetro brokerConfig del transporte de VM para cargar un contexto de aplicación XML de Spring remoto usando ResourceXmlApplicationContext.

En algunas versiones (6.0.0–6.1.1), no se requieren credenciales debido a otra vulnerabilidad, CVE-2024-32114, que expone inadvertidamente la API de Jolokia sin autenticación.

Gestión incorrecta de entradas en Virtual Lightweight Collector de Juniper

Fecha09/04/2026
Importancia5 - Crítica
Recursos Afectados

Todas las versiones de Virtual Lightweight Collector (vLWC) anteriores a la 3.0.94.

Descripción

Juniper ha publicado un boletín de seguridad donde informa de 1 vulnerabilidad de severidad crítica que, en caso de ser explotada, permitiría a un atacante tomar el control total del dispositivo.

Solución

Actualizar el producto a la versión 3.0.94 o posterior.

En caso de que no sea posible instalar la actualización, se recomienda cambiar la contraseña manualmente en el menú de configuración.

Detalle

CVE-2026-33784: el producto por defecto tiene una cuenta inicial con muchos privilegios para la que no se exige su cambio de contraseña, lo que provoca que, en caso de que no se haya modificado, un atacante remoto no autenticado pueda tomar el control total del dispositivo.