Apache ActiveMQ Jolokia 远程代码执行漏洞(CVE-2026-42588)

北京赛克艾威科技有限公司 2026-06-01


  • 漏洞编号:CVE-2026-42588
  • 漏洞等级:高危
  • 漏洞标签:奇安信CERT验证、技术细节公开、影响万级、关键漏洞
  • 发布时间:2026-06-01

漏洞描述

Apache ActiveMQ 是 Apache 软件基金会研发的开源消息中间件,完整遵循 JMS 规范,支持 OpenWire、STOMP、AMQP、MQTT 等多种跨语言通信协议,提供高可用集群、消息持久化、事务保障、流量削峰等企业级特性,广泛用于分布式系统的异步通信、应用解耦与服务编排场景。其内置 Web 控制台通过 Jolokia 组件暴露 JMX\-HTTP 桥接接口,便于运维人员对消息代理进行可视化监控、配置管理与运行态管控,是金融、电商、云计算等领域主流的消息队列产品。 该漏洞源于 Web 控制台 /api/jolokia/ 路径暴露 Jolokia 接口,默认策略允许对 org.apache.activemq:\* 下全部 MBean 执行 exec 操作,未对 BrokerService.addNetworkConnector \(String\) 的入参做严格校验与安全过滤。攻击者可以利用该漏洞,构造恶意 masterslave:// 格式的 discovery URI,触发 VM transport 的 brokerConfig 参数加载 Spring XML 应用上下文...

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/465339