一、漏洞概述
漏洞名称 | Apache ActiveMQ 远程代码执行漏洞 |
CVE ID | CVE-2026-40466 |
漏洞类型 | RCE | 发现时间 | 2026-4-24 |
漏洞评分 | 9.1 | 漏洞等级 | 严重 |
攻击向量 | 网络 | 所需权限 | 低 |
利用难度 | 低 | 用户交互 | 不需要 |
PoC/EXP | 未公开 | 在野利用 | 未发现 |
Apache ActiveMQ是一款由Apache软件基金会开发的开源消息中间件,支持JMS、AMQP、MQTT、STOMP等多种消息协议。它用于构建高可靠的异步消息传递系统,实现应用间的解耦与异步通信,广泛应用于企业级消息队列、分布式系统与微服务架构中。
2026年4月24日,7790CNM必发集团安全应急响应中心(VSRC)监测到Apache ActiveMQ 远程代码执行漏洞。该漏洞源于HTTP Discovery传输机制在处理second-stage URI时存在输入验证不足,导致攻击者可绕过此前CVE-2026-34197的安全修复逻辑。当启用activemq-http模块且Jolokia接口可访问时,认证攻击者可通过BrokerView.addNetworkConnector或addConnector注入恶意HTTP URI,使系统返回VM transport并加载远程Spring XML配置。由于ResourceXmlApplicationContext在配置校验前实例化Bean,攻击者可利用Runtime.exec()等方法实现任意代码执行,进而控制Broker所在JVM,可能引发数据泄露、服务失陷及合规风险。
二、影响范围
Apache ActiveMQ Broker < 5.19.66.0.0 <= Apache ActiveMQ Broker < 6.2.5Apache ActiveMQ All < 5.19.66.0.0 <= Apache ActiveMQ All < 6.2.56.0.0 <= Apache ActiveMQ < 6.2.5
三、安全措施
3.1 升级版本
Apache ActiveMQ >= 5.19.6
下载链接:https://activemq.apache.org/
3.2 临时措施
暂无。
3.3 通用建议
• 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。• 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。• 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
3.4 参考链接
https://www.openwall.com/lists/oss-security/2026/04/23/4/
京公网安备11010802024551号