Apache ActiveMQ jolokia 代码执行漏洞(CVE-2026-42588)
摘要
Apache ActiveMQ 是一个开源的多协议消息代理服务器。2026年6月,官方披露 CVE-2026-34197 ActiveMQ Jolokia 远程代码执行漏洞。Apache ActiveMQ 在通过 Jolokia 接口处理请求时存在输入校验不当(CWE-20)与代码生成控制不当(CWE-94)缺陷。攻击者可构造恶意请求,在 ActiveMQ Broker 的 JVM 上注入并执行任意代码,从而执行任意命令控制Activemq。 影响范围 Apache ActiveMQ < 5.19.7 6.0.0 <= Apache ActiveMQ < 6.2.6
正文
Apache ActiveMQ 是一个开源的多协议消息代理服务器。2026年6月,官方披露 CVE-2026-34197 ActiveMQ Jolokia 远程代码执行漏洞。Apache ActiveMQ 在通过 Jolokia 接口处理请求时存在输入校验不当(CWE-20)与代码生成控制不当(CWE-94)缺陷。攻击者可构造恶意请求,在 ActiveMQ Broker 的 JVM 上注入并执行任意代码,从而执行任意命令控制Activemq。 影响范围 Apache ActiveMQ < 5.19.7 6.0.0 <= Apache ActiveMQ < 6.2.6 CVE编号: CVE-2026-42588 利用情况: 暂无 补丁情况: 官方补丁 阿里云评分: 7.5 ** 威胁评估 ** 攻击路径: 远程 攻击复杂度: 容易 权限要求: 普通权限 影响范围: 全局影响 EXP成熟度: 未验证 补丁情况: 官方补丁 数据保密性: 数据泄露 数据完整性: 传输被破坏 服务器危害: 服务器失陷 全网数量: N/A ** 解决建议 ** 1、升级至最新版本。2、设置Activemq管理控制界面仅对可信地址开放。3、修改Activemq web控制台默认口令。 ** 参考链接 ** - http://www.openwall.com/lists/oss-security/2026/05/31/18 - https://lists.apache.org/thread/ns0zktfo16s9ql2mmtqtlb6p6xcs45xm
标签
- cve:cve-2026-42588
- cwe:cwe-20
- exploit:暂无
扩展字段
{
"aliyun_score": 7.5,
"avd_id": "AVD-2026-42588",
"cvss_details": {
"EXP成熟度": "未验证",
"全网数量": "N/A",
"影响范围": "全局影响",
"攻击复杂度": "容易",
"攻击路径": "远程",
"数据保密性": "数据泄露",
"数据完整性": "传输被破坏",
"服务器危害": "服务器失陷",
"权限要求": "普通权限",
"补丁情况": "官方补丁"
},
"cwe_description": "输入验证不恰当",
"severity_text": "高危"
}