U.S. Cybersecurity and Infrastructure Security Agency (CISA) har bekräftat aktivt utnyttjande av en höggradig sårbarhet för fjärrkörning av kod (RCE) i Apache ActiveMQ Classic, spårad som CVE-2026-34197. Bristen har lagts till i CISA:s katalog över kända exploaterade sårbarheter (KEV), vilket signalerar verifierad skadlig aktivitet i naturen och höjer åtgärdsprioriteten för alla organisationer som använder berörda versioner av ActiveMQ
Bristen gör det möjligt för angripare att utföra godtyckliga operativsystemkommandon på sårbara ActiveMQ-brokers genom att missbruka Jolokia JMX-HTTP-hanterings-API. I vissa versioner kan sårbarheten utnyttjas utan autentisering, vilket avsevärt ökar risken för internetexponerade och dåligt säkrade miljöer. Organisationer som kör berörda versioner rekommenderas starkt att omedelbart patcha och undersöka om det finns tecken på kompromettering.
CVE-2026-34197 orsakas av felaktig validering av indata och osäkra vägar för exekvering av kod i Apache ActiveMQ Classic. Specifikt ligger problemet i det sätt på vilket mäklarens Jolokia-hanteringsgränssnitt exponerar känsliga JMX-operationer, såsom BrokerService.addNetworkConnector().
En angripare kan utnyttja detta beteende för att tvinga mäklaren att ladda en fjärrstyrd, angriparkontrollerad Spring XML-konfigurationsfil, som körs under initialiseringen. Eftersom Spring instansierar alla bönor innan validering sker, resulterar denna sekvens i godtycklig exekvering av kod inom ActiveMQ JVM-processen.
Även om exploateringssökvägen vanligtvis kräver autentisering, är användningen av standardautentiseringsuppgifter (admin:admin) vanlig i verkliga implementeringar. Dessutom påverkas ActiveMQ-versionerna 6.0.0 till 6.1.1 av en separat sårbarhet (CVE-2024-32114) som exponerar Jolokia-slutpunkten utan autentisering, vilket effektivt gör CVE-2026-34197 till en oautentiserad RCE i dessa versioner.
Sårbarheten påverkar följande Apache ActiveMQ Classic-komponenter och versioner:
Apache ActiveMQ Artemis påverkas inte.
CISA har bekräftat aktiv exploatering i naturen, vilket ledde till att CVE-2026-34197 lades till i KEV-katalogen. Medan tekniska detaljer om live-attacker fortfarande är begränsade, rapporterar flera säkerhetsövervakningsleverantörer ökande rekognoserings- och exploateringsförsök mot offentligt exponerade Jolokia-slutpunkter associerade med ActiveMQ Classic-brokers.
Denna exploatering följer ett återkommande mönster: Apache ActiveMQ har upprepade gånger varit måltavla för hotaktörer under de senaste åren, inklusive utnyttjande av CVE-2023-46604, som 2025 användes som vapen för att distribuera skadlig kod för Linux. Tillägget av denna sårbarhet till KEV-listan signalerar ett trovärdigt och pågående hot mot företags- och regeringsmiljöer.
Framgångsrikt utnyttjande gör det möjligt för angripare att:
Med tanke på ActiveMQ:s roll som mellanprogram i kritiska affärsprocesser kan intrång leda till betydande driftstörningar, dataexponering och systemkompromittering i senare led. Risken är särskilt akut där mäklare är vända mot internet eller använder standardautentiseringsuppgifter.
Organisationer bör granska ActiveMQ-broker- och applikationsloggar för följande misstänkta aktiviteter:
Dessa indikatorer kan tyda på försök till eller lyckad exploatering.
CISA rekommenderar starkt att man prioriterar att åtgärda denna sårbarhet oavsett sektor, även om KEV-tidsfristerna formellt endast gäller för amerikanska federala myndigheter.
Om du är orolig för något av de hot som beskrivs i den här bulletinen eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kontoansvarige, eller alternativt kontakta oss för att ta reda påhur du kan skydda din organisation.