Vulnerabilidade RCE de 13 anos corrigida no Apache ActiveMQ
Pesquisadores da Horizon3 descobriram uma vulnerabilidade de execução remota de código (RCE) no Apache ActiveMQ Classic que permaneceu despercebida por 13 anos. A falha, identificada como CVE-2026-34197, afeta versões até a 5.19.4 e de 6.0.0 a 6.2.3. A vulnerabilidade foi descoberta com a ajuda de um assistente de IA, Claude.
MundiX News·15 de abril de 2026·5 min de leitura·👁 3 views
Pesquisadores da empresa Horizon3 descobriram no Apache ActiveMQ Classic uma vulnerabilidade de execução remota de código (RCE) que permaneceu despercebida por 13 anos. O bug foi encontrado com a ajuda do assistente de IA Claude, que analisou a interação de componentes desenvolvidos independentemente e apontou um possível caminho de exploit.
A vulnerabilidade recebeu o identificador CVE-2026-34197 (8,8 pontos na escala CVSS) e afeta as versões do Apache ActiveMQ/Broker até a 5.19.4, bem como todos os releases de 6.0.0 a 6.2.3.
Apache ActiveMQ é um message broker de código aberto em Java que fornece comunicação assíncrona por meio de filas e tópicos. Embora o projeto tenha um branch Artemis mais produtivo, é a edição Classic que ainda é amplamente utilizada em sistemas corporativos, web backends e serviços governamentais construídos em Java.
A vulnerabilidade foi descoberta pelo pesquisador da Horizon3, Naveen Sunkavally. Segundo ele, o bug foi encontrado com "apenas alguns prompts básicos" no Claude:
"É 80% mérito do Claude e os 20% restantes são refinamentos humanos."
Claude apontou o problema após analisar vários componentes: Jolokia, JMX, conectores de rede e transportes VM. Individualmente, cada função funcionava normalmente, mas juntas criavam um problema.
A essência do bug é que a API de gerenciamento Jolokia no ActiveMQ expõe a função do brokeraddNetworkConnector, através da qual uma configuração externa pode ser carregada. Uma requisição especialmente formada força o broker a carregar um arquivo Spring XML remoto e executar comandos de sistema arbitrários durante a inicialização. Essencialmente, este problema é um bypass para o patch da antiga vulnerabilidade CVE-2022-41678, cuja correção deixou todas as operações em MBeans acessíveis através do Jolokia.
A exploração requer autenticação no Jolokia, mas nas versões 6.0.0–6.1.1 essa restrição é removida devido à vulnerabilidade CVE-2024-32114, que acidentalmente removeu o caminho /api/* das restrições de segurança do console web. Como resultado, o Jolokia nessas versões torna-se completamente não autenticado, o que abre a possibilidade de RCE não autorizado.
O pesquisador notificou os mantenedores do Apache sobre a vulnerabilidade em 22 de março, e em 30 de março os desenvolvedores lançaram as versões corrigidas do ActiveMQ Classic 5.19.4 e 6.2.3.
Não foram registrados sinais de exploração da CVE-2026-34197 em ataques reais até o momento, mas os pesquisadores lembram que os rastros serão visíveis nos logs. Deve-se procurar por conexões suspeitas através do protocolo VM interno com o parâmetro brokerConfig=xbean:http://.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Pesquisadores da empresa Horizon3 descobriram no Apache ActiveMQ Classic uma vulnerabilidade de execução remota de código (RCE) que permaneceu despercebida por 13 anos. O bug foi encontrado com a ajuda do assistente de IA Claude, que analisou a interação de componentes desenvolvidos independentemente e apontou um possível caminho de exploit.
A vulnerabilidade recebeu o identificador CVE-2026-34197 (8,8 pontos na escala CVSS) e afeta as versões do Apache ActiveMQ/Broker até a 5.19.4, bem como todos os releases de 6.0.0 a 6.2.3.
Apache ActiveMQ é um message broker de código aberto em Java que fornece comunicação assíncrona por meio de filas e tópicos. Embora o projeto tenha um branch Artemis mais produtivo, é a edição Classic que ainda é amplamente utilizada em sistemas corporativos, web backends e serviços governamentais construídos em Java.
A vulnerabilidade foi descoberta pelo pesquisador da Horizon3, Naveen Sunkavally. Segundo ele, o bug foi encontrado com "apenas alguns prompts básicos" no Claude:
"É 80% mérito do Claude e os 20% restantes são refinamentos humanos."
Claude apontou o problema após analisar vários componentes: Jolokia, JMX, conectores de rede e transportes VM. Individualmente, cada função funcionava normalmente, mas juntas criavam um problema.
A essência do bug é que a API de gerenciamento Jolokia no ActiveMQ expõe a função do brokeraddNetworkConnector, através da qual uma configuração externa pode ser carregada. Uma requisição especialmente formada força o broker a carregar um arquivo Spring XML remoto e executar comandos de sistema arbitrários durante a inicialização. Essencialmente, este problema é um bypass para o patch da antiga vulnerabilidade CVE-2022-41678, cuja correção deixou todas as operações em MBeans acessíveis através do Jolokia.
A exploração requer autenticação no Jolokia, mas nas versões 6.0.0–6.1.1 essa restrição é removida devido à vulnerabilidade CVE-2024-32114, que acidentalmente removeu o caminho /api/* das restrições de segurança do console web. Como resultado, o Jolokia nessas versões torna-se completamente não autenticado, o que abre a possibilidade de RCE não autorizado.
O pesquisador notificou os mantenedores do Apache sobre a vulnerabilidade em 22 de março, e em 30 de março os desenvolvedores lançaram as versões corrigidas do ActiveMQ Classic 5.19.4 e 6.2.3.
Não foram registrados sinais de exploração da CVE-2026-34197 em ataques reais até o momento, mas os pesquisadores lembram que os rastros serão visíveis nos logs. Deve-se procurar por conexões suspeitas através do protocolo VM interno com o parâmetro brokerConfig=xbean:http://.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
