CVE-2026-34197（CVSS 8.8）：Apache ActiveMQ Classic的高危漏洞，已確認遭野外利用。CISA已將此漏洞加入KEV目錄，聯邦機構修補截止日為2026年4月30日。

該漏洞編號大約在 10 天前被發現，此前它已在軟體程式碼中潛伏了 13 年。該漏洞已在 5.19.5 和 6.2.3 版本中修復。Apache ActiveMQ 是一個開源的多協定訊息代理，它能夠實現應用程式之間可靠的非同步通訊。

CVE-2026-34197 可以與追蹤為 CVE-2024-32114 的較早漏洞結合使用，從而實現未經身份驗證的遠端程式碼執行。目前尚無關於利用該漏洞發起的攻擊的具體細節公開。不過，Fortinet在過去一週內  已發現數十起攻擊嘗試。

漏洞利用Jolokia API執行任意OS命令；6.0.0–6.1.1版可無需認證利用。ShadowServer追蹤到逾8,000個公網可存取執行個體。修補版本：5.19.4 / 6.2.3。

資料來源：
https://www.securityweek.com/recent-apache-activemq-vulnerability-exploited-in-the-wild/ https://www.bleepingcomputer.com/news/security/cisa-flags-apache-activemq-flaw-as-actively-exploited-in-attacks/