Resumen ejecutivo
Naveen Sunkavally de Horizon3.ai ha informado sobre 1 vulnerabilidad de severidad alta que, en caso de ser explotada podría permitir a un atacante obtener un archivo de configuración remoto y ejecutar comandos arbitrarios del sistema operativo. Esta vulnerabilidad ha permanecido oculta durante 13 años.
Recursos afectados
- Apache ActiveMQ Broker (org.apache.activemq:activemq-broker);
- Apache ActiveMQ (org.apache.activemq:activemq-all);
- Apache ActiveMQ Classic.
Análisis técnico
- CVE-2026-34197: validación de entrada incorrecta que conlleva poder inyectar código en Apache ActiveMQ Broker, Apache ActiveMQ. Apache ActiveMQ Classic por la exposición del puente Jolokia JMX-HTTP en '/api/jolokia/' en la consola web que podría permitir a un atacante remoto invocar algunas operaciones con una URI para activar el parámetro brokerConfig del transporte de VM para cargar un contexto de aplicación XML de Spring remoto usando ResourceXmlApplicationContext.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-34197 | Alta | Sí |
Nota: El valor de explotación de cada vulnerabilidad corresponde al momento de publicación de este aviso. Dicho valor puede haber cambiado en el trascurso del tiempo.
Mitigación / Solución
Se tiene constancia de la explotación activa de esta vulnerabilidad por lo que se recomienda encarecidamente actualizar a la versión 5.19.4 o 6.2.3.