Horizon3.ai 報告稱，Apache ActiveMQ Classic 中潛伏了 13 年的遠端程式碼執行 (RCE) 漏洞可能與一個更早的漏洞結合使用，從而繞過身份驗證。Apache ActiveMQ 是一款開源的訊息傳遞和整合模式伺服器，它作為中間件代理程式處理訊息佇列，並被廣泛應用於眾多產業。 ActiveMQ Classic 是該代理程式的原始版本。

此新發現的漏洞被追蹤為 CVE-2026-34197，攻擊者可以透過 Jolokia API 呼叫管理操作，誘使代理程式檢索遠端設定檔並執行作業系統命令。據 Horizon3.ai 稱，該安全缺陷繞過了 CVE-2022-41678，該漏洞允許攻擊者透過呼叫特定的 JDK MBean 將 webshell 寫入磁碟。

這家網路安全公司解釋說，修復方案增加了一個標誌，允許透過 Jolokia 呼叫所有 ActiveMQ MBean 上的所有操作。程式碼執行問題是在運行時建立代理間橋接的操作中發現的。然而，利用此漏洞還需要攻擊 ActiveMQ 的 VM 傳輸功能，該功能旨在將代理程式嵌入到應用程式內部。這會導致客戶端和代理在同一個 JVM 中直接通訊。

如果 VM 傳輸 URI 引用不存在的代理，ActiveMQ 將建立一個代理並接受一個參數，指示其載入可能包含攻擊者提供的 URL 的配置。Horizon3.ai 表示，透過將這兩種機制結合起來，攻擊者可以誘騙代理檢索並運行 Spring XML 配置文件，該文件「實例化所有 bean 定義，從而導致遠端程式碼執行」。

網路安全公司還指出，在某些部署中，利用 CVE-2024-32114 漏洞，無需身份驗證即可實現遠端程式碼執行 (RCE)，該漏洞會將 Jolokia API 暴露給未經身份驗證的用戶。

Horizon3.ai解釋說：「CVE-2024-32114是ActiveMQ 6.x中的一個獨立漏洞，其中包含Jolokia端點的/api/*路徑被意外地從Web控制台的安全約束中移除。這意味著在ActiveMQ 6.0.0到6.1.1版本中，Jolokia」。新發現的安全漏洞已在 ActiveMQ Classic 版本 5.19.4 和 6.2.3 中修復，建議使用者盡快更新部署。

資料來源：https://www.securityweek.com/rce-bug-lurked-in-apache-activemq-classic-for-13-years/