Wed, 08 Apr 2026
← VoltarUma vulnerabilidade de execução remota de código de 13 anos no Apache ActiveMQ Classic pode ser encadeada para ignorar a autenticação e executar comandos do sistema operacional.
Uma vulnerabilidade de execução remota de código (RCE) que se escondeu no Apache ActiveMQ Classic por 13 anos pode ser encadeada com uma falha mais antiga para ignorar a autenticação, relata Horizon3.ai. Um servidor de mensagens e padrões de integração de código aberto, o Apache ActiveMQ atua como um intermediário de middleware que lida com filas de mensagens e é amplamente utilizado em vários setores. ActiveMQ Classic é a versão original do corretor. Rastreado como CVE-2026-34197, o bug recém-identificado permite que invasores invoquem operações de gerenciamento por meio da API Jolokia e incitem o corretor a recuperar um arquivo de configuração remoto e executar comandos do sistema operacional.
De acordo com Horizon3.ai, o defeito de segurança é um desvio para CVE-2022-41678, um bug que permite que invasores gravem webshells em disco invocando MBeans JDK específicos. A correção, explica a empresa de segurança cibernética, adicionou um sinalizador que permite que todas as operações em cada MBeans ActiveMQ possam ser chamadas por meio do Jolokia. O problema de execução de código foi identificado em uma operação que configura pontes entre corretores em tempo de execução. Explorar o bug, no entanto, também requer o direcionamento do recurso de transporte de VM do ActiveMQ, que foi projetado para incorporar um corretor dentro de um aplicativo.
Isso faz com que o cliente e o corretor se comuniquem diretamente na mesma JVM.