【漏洞通告】Apache ActiveMQ远程代码执行漏洞(CVE-2026-42588)
发布时间 2026-06-02一、漏洞概述
Apache ActiveMQ是一款由Apache软件基金会开发的开源消息中间件,支持JMS、AMQP、MQTT、STOMP等多种消息协议。它用于构建高可靠的异步消息传递系统,实现应用间的解耦与异步通信,广泛应用于企业级消息队列、分布式系统与微服务架构中。
2026年6月2日,启明星辰安全应急响应中心(VSRC)监测到Apache ActiveMQ远程代码执行漏洞。该漏洞源于Web Console默认暴露的/api/jolokia/JMX-HTTP桥接接口对输入参数校验不足,且默认Jolokia访问策略允许调用org.apache.activemq:*相关MBean的exec操作。经过身份认证的攻击者可通过构造恶意masterslave://发现URI,触发VM Transport中的brokerConfig参数加载Spring ResourceXmlApplicationContext,从而在BrokerService完成配置校验前实例化恶意Bean并执行Runtime.exec()等方法,最终在Broker JVM中实现远程代码执行。攻击者成功利用后可进一步控制消息服务、窃取业务数据或横向渗透内部系统。
二、影响范围
Apache ActiveMQ Broker < 5.19.7
6.0.0 <= Apache ActiveMQ Broker < 6.2.6
Apache ActiveMQ All < 5.19.7
6.0.0 <= Apache ActiveMQ All < 6.2.6
Apache ActiveMQ < 5.19.7
6.0.0 <= Apache ActiveMQ < 6.2.6
三、安全措施
3.1 升级版本
官方已发布修复补丁,以修复该漏洞。
Apache ActiveMQ Broker >= 5.19.7
Apache ActiveMQ All >= 5.19.7
Apache ActiveMQ >= 5.19.7
或升级至:
Apache ActiveMQ Broker >= 6.2.6
Apache ActiveMQ All >= 6.2.6
Apache ActiveMQ >= 6.2.6
下载链接:
https://activemq.apache.org/
3.2 临时措施
暂无。
3.3 通用建议
定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
使用企业级安全产品,提升企业的网络安全性能。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
启用强密码策略并设置为定期修改。
3.4 参考链接
https://nvd.nist.gov/vuln/detail/CVE-2026-42588/
https://lists.apache.org/thread/ns0zktfo16s9ql2mmtqtlb6p6xcs45xm
京公网安备11010802024551号