CVE-2026-34197 : RCE critique dans Apache ActiveMQ Classic via l'API Jolokia
🔍 Contexte Publié le 7 avril 2026 par Horizon3.ai, cet article présente la divulgation complète de CVE-2026-34197, une vulnérabilité d’exécution de code à distance (RCE) dans Apache ActiveMQ Classic, présente depuis 13 ans et corrigée dans les versions 5.19.4 et 6.2.3. 🐛 Description de la vulnérabilité La vulnérabilité repose sur un enchaînement de mécanismes légitimes d’ActiveMQ : Jolokia (pont HTTP-to-JMX) expose une API REST permettant d’invoquer des opérations sur les MBeans ActiveMQ L’opération addNetworkConnector(String) sur le broker MBean accepte un URI de découverte Le transport vm:// crée un broker à la volée si le nom référencé n’existe pas, en acceptant un paramètre brokerConfig pointant vers une URL distante Le schéma xbean: délègue le chargement à Spring’s ResourceXmlApplicationContext, instanciant tous les beans définis — permettant l’exécution de commandes via MethodInvokingFactoryBean et Runtime.getRuntime().exec() ⚠️ Conditions d’exploitation Authentifiée par défaut (credentials admin:admin très répandus) Non authentifiée sur les versions 6.0.0 à 6.1.1 en raison de CVE-2024-32114, qui supprime les contraintes de sécurité sur le chemin /api/*, rendant Jolokia totalement accessible sans credentials 🔗 Lien avec des vulnérabilités antérieures CVE-2022-41678 : RCE authentifiée via Jolokia et JDK MBeans (FlightRecorder) — le correctif avait introduit un allow global sur tous les MBeans ActiveMQ, créant la surface exploitée ici CVE-2023-46604 : RCE non authentifiée via chargement de Spring XML distant (même type de sink) CVE-2016-3088 : RCE authentifiée via la console web (sur la KEV CISA) 🎯 Secteurs impactés ActiveMQ est largement déployé dans les secteurs : services financiers, santé, gouvernement, e-commerce. ...