• 漏洞编号：CVE-2026-34197
• 漏洞等级：高危
• 漏洞标签：POC已公开
• 发布时间：2026-04-07

漏洞描述

Apache ActiveMQ 是一个开源的多协议消息代理服务器。2026年4月，官方披露 CVE\-2026\-34197 ActiveMQ Jolokia 远程代码执行漏洞。由于 允许对 ActiveMQ MBeans 执行 exec 操作。攻击者可通过Web 控制台默认暴露的 Jolokia JMX\-HTTP bridge 操作ActiveMQ MBeans，调用 addNetworkConnector 或 addConnector 方法，构造包含 brokerConfig 参数的 discovery URI从而ResourceXmlApplicationContext 加载远程恶意 Spring XML 配置文件，并最终导致代码执行。

修复建议

1. 升级至最新版本。 2. 设置Activemq管理控制界面仅对可信地址开放。 3. 修改Activemq web控制台默认口令。

参考链接

http://www.openwall.com/lists/oss-security/2026/04/06/3

https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt

https://avd.aliyun.com/detail?id=AVD-2026-34197