Wed, 08 Apr 2026
← VoltarUma vulnerabilidade crítica de execução remota de código no Apache ActiveMQ Classic passou despercebida por 13 anos. Ele permite que invasores executem comandos arbitrários remotamente.
Pesquisadores de segurança descobriram uma vulnerabilidade de execução remota de código (RCE) no Apache ActiveMQ Classic que passou despercebida por 13 anos e poderia ser explorada para executar comandos arbitrários. A falha foi descoberta usando o assistente Claude AI, que identificou um caminho de exploração analisando como os componentes desenvolvidos de forma independente interagem. Rastreado como CVE-2026-34197, o problema de segurança recebeu uma pontuação de gravidade alta de 8,8 e afeta versões do Apache ActiveMQ/Broker anteriores a 5.19.4 e todas as versões de 6.0.0 a 6.2.3. Esse também é o motivo pelo qual foi perdido por mais de uma década.
Apache ActiveMQ é um corretor de mensagens de código aberto escrito em Java que lida com comunicação assíncrona por meio de filas de mensagens ou tópicos. Embora o ActiveMQ tenha lançado uma ramificação ‘Artemis’ mais recente com melhor desempenho, a edição ‘Clássica’ impactada pelo CVE-2026-34197 é amplamente implantada em sistemas corporativos, back-end da web, governamentais e empresariais construídos em Java. O pesquisador do Horizon3, Naveen Sunkavally, encontrou o problema “com nada mais do que algumas instruções básicas” em Claude. “Isso foi 80% Claude e 20% embrulhado para presente por um humano”, disse ele.
Sunkavally observa que Claude apontou o problema depois de examinar vários componentes individuais (Jolokia, JMX, conectores de rede e transportes de VM). "Cada recurso isolado faz o que deveria, mas eles eram perigosos juntos. Foi exatamente aqui que Claude brilhou - costurando esse caminho de ponta a ponta com eficiência, com a cabeça limpa e livre de suposições." O pesquisador relatou a vulnerabilidade aos mantenedores do Apache em 22 de março, e o desenvolvedor abordou a questão em 30 de março nas versões 6.2.3 e 5.19.4 do ActiveMQ Classic. Um relatório da Horizon3 explica que a falha decorre da API de gerenciamento Jolokia do ActiveMQ, expondo uma função de corretor (addNetworkConnector) que pode ser abusada para carregar configurações externas.
Ao enviar uma solicitação especialmente criada, um invasor pode forçar o corretor a buscar um arquivo Spring XML remoto e executar comandos arbitrários do sistema durante sua inicialização. O problema requer autenticação via Jolokia, mas torna-se não autenticado nas versões 6.0.0 a 6.1.1 devido a um bug separado, CVE-2024-32114, que expõe a API sem controle de acesso. RCE não autenticado em versões específicas do ActiveMQ Fonte: Horizon3 Os pesquisadores do Horizon3 destacaram o risco representado pela falha recém-divulgada, citando outros CVEs do ActiveMQ que os hackers têm como alvo em ataques no mundo real. “Recomendamos que as organizações que executam o ActiveMQ tratem isso como uma alta prioridade, já que o ActiveMQ tem sido um alvo repetido para invasores do mundo real e os métodos de exploração e pós-exploração do ActiveMQ são bem conhecidos”, afirma Horizon3.
“Tanto o CVE-2016-3088, um RCE autenticado que afeta o console da web, quanto o CVE-2023-46604, um RCE não autenticado que afeta a porta do corretor, estão na lista KEV da CISA.” Embora CVE-2026-34197 não seja relatado como explorado ativamente, os pesquisadores dizem que os sinais de exploração são claros nos logs do corretor ActiveMQ. Eles recomendam procurar conexões de corretor suspeitas que usam o protocolo de transporte interno VM e o parâmetro de consulta brokerConfig=xbean:http://. A execução do comando ocorre durante múltiplas tentativas de conexão. Se aparecer uma mensagem de aviso sobre um problema de configuração, os pesquisadores dizem que a carga já foi executada.