【漏洞通告】Apache ActiveMQ远程代码执行漏洞(CVE-2026-42588)
正文
一、漏洞概述 Apache ActiveMQ是一款由Apache软件基金会开发的开源消息中间件,支持JMS、AMQP、MQTT、STOMP等多种消息协议。它用于构建高可靠的异步消息传递系统,实现应用间的解耦与异步通信,广泛应用于企业级消息队列、分布式系统与微服务架构中。 2026年6月2日,启明星辰安全应急响应中心(VSRC)监测到Apache ActiveMQ远程代码执行漏洞。该漏洞源于Web Console默认暴露的/api/jolokia/JMX-HTTP桥接接口对输入参数校验不足,且默认Jolokia访问策略允许调用org.apache.activemq:*相关MBean的exec操作。经过身份认证的攻击者可通过构造恶意masterslave://发现URI,触发VM Transport中的brokerConfig参数加载Spring ResourceXmlApplicationContext,从而在BrokerService完成配置校验前实例化恶意Bean并执行Runtime.exec()等方法,最终在Broker JVM中实现远程代码执行。攻击者成功利用后可进一步控制消息服务、窃取业务数据或横向渗透内部系统。 二、影响范围 Apache ActiveMQ Broker < 5.19.7 6.0.0 <= Apache ActiveMQ Broker < 6.2.6 Apache ActiveMQ All < 5.19.7 6.0.0 <= Apache ActiveMQ All < 6.2.6 Apache ActiveMQ < 5.19.7 6.0.0 <= Apache ActiveMQ < 6.2.6 三、安全措施 3.1 升级版本 官方已发布修复补丁,以修复该漏洞。 Apache ActiveMQ Broker >= 5.19.7 Apache ActiveMQ All >= 5.19.7 Apache ActiveMQ >= 5.19.7 或升级至: Apache ActiveMQ Broker >= 6.2.6 Apache ActiveMQ All >= 6.2.6 Apache ActiveMQ >= 6.2.6 下载链接: https://activemq.apache.org/ 3.2 临时措施 暂无。 3.3 通用建议 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。 使用企业级安全产品,提升企业的网络安全性能。 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。 启用强密码策略并设置为定期修改。 3.4 参考链接 https://nvd.nist.gov/vuln/detail/CVE-2026-42588/ https://lists.apache.org/thread/ns0zktfo16s9ql2mmtqtlb6p6xcs45xm 上一篇
标签
- source:venustech
- type:vuln-bulletin