hu, 09 Apr 2026
← VoltarUma vulnerabilidade de execução remota de código no Apache ActiveMQ, existente há 13 anos, foi descoberta e corrigida em março de 2026. Nenhuma exploração ativa detectada ainda.
Na mais recente demonstração de como os assistentes de IA podem ajudar na busca de bugs, o pesquisador do Horizon3.ai Naveen Sunkavally usou Claude para descobrir CVE-2026-34197, uma vulnerabilidade de execução remota de código no Apache ActiveMQ que foi introduzida na base de código há 13 anos. A vulnerabilidade foi corrigida no final de março de 2026 e atualmente não há indicação de que esteja sendo explorada ativamente por invasores. No entanto, como as vulnerabilidades do ActiveMQ foram anteriormente aproveitadas para ataques de ransomware e malware, as organizações devem atualizar suas instalações e procurar possíveis indicadores de comprometimento. Sobre CVE-2026-34197 CVE-2026-34197 é uma vulnerabilidade inadequada de validação de entrada e injeção de código no popular corretor de mensagens de código aberto Apache ActiveMQ para comunicação assíncrona.
"O ActiveMQ vem em dois sabores: ActiveMQ Classic, o corretor original, e ActiveMQ Artemis, uma implementação mais recente. Essa vulnerabilidade afeta apenas o Classic", observou Sunkavally. "Em retrospectiva, a vulnerabilidade é óbvia, mas você pode ver por que ela foi ignorada ao longo dos anos. Envolvia vários componentes desenvolvidos de forma independente ao longo do tempo: Jolokia, JMX, conectores de rede e transportes de VM.
Cada recurso isolado faz o que deveria, mas eles eram perigosos juntos. Foi exatamente aqui que Claude brilhou: costurando esse caminho de maneira eficiente, de ponta a ponta, com a cabeça limpa e livre de suposições." Sunkavally também observou que, embora a vulnerabilidade normalmente exija credenciais, combinações padrão de nome de usuário e senha (por exemplo, admin: admin) são amplamente utilizadas em muitos ambientes. "Em algumas versões (6.0.0–6.1.1), nenhuma credencial é necessária devido a outra vulnerabilidade, CVE-2024-32114, que expõe inadvertidamente a API Jolokia sem autenticação. Nessas versões, CVE-2026-34197 é efetivamente um RCE não autenticado", explicou ele.
Mitigação e investigação CVE-2026-34197 foi corrigida nas versões 6.2.3 e 5.19.4 do ActiveMQ, e as organizações que usam o ActiveMQ devem atualizar para um deles o mais rápido possível, especialmente agora que os detalhes técnicos são públicos. Sunkavally também aconselhou as organizações a verificarem seus logs do agente ActiveMQ em busca de possíveis indicadores de comprometimento: Atividade do conector de rede referenciando URIs vm:// com brokerConfig=xbean:http. Solicitações POST para /api/jolokia/ contendo addNetworkConnector no corpo da solicitação Solicitações HTTP de saída do processo do agente do ActiveMQ para hosts inesperados e processos filhos inesperados gerados pelo processo Java do ActiveMQ