• 漏洞编号：CVE-2026-40466
• 漏洞等级：高危
• 漏洞标签：影响万级、奇安信CERT验证、关键漏洞、技术细节公开
• 发布时间：2026-04-23

漏洞描述

该漏洞是 CVE\-2026\-34197 安全修复的绕过。当 activemq\-http 模块在类路径中时，已认证的攻击者可通过 Jolokia API 添加使用 HTTP Discovery 传输的恶意连接器，由攻击者控制的 HTTP 端点返回 VM 传输 URI 以绕过验证，进而利用 Spring 的 ResourceXmlApplicationContext 加载远程恶意 XML 配置，在目标 JVM 上执行任意代码。

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/457213