https://cyberveille.ch/tags/apache-activemq/ Recent content in Apache ActiveMQ on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Thu, 16 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-16-cve-2026-34197-rce-critique-dans-apache-activemq-classic-via-l-api-jolokia/ Thu, 16 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-16-cve-2026-34197-rce-critique-dans-apache-activemq-classic-via-l-api-jolokia/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 7 avril 2026 par Horizon3.ai, cet article présente la divulgation complète de <strong>CVE-2026-34197</strong>, une vulnérabilité d&rsquo;<strong>exécution de code à distance (RCE)</strong> dans <strong>Apache ActiveMQ Classic</strong>, présente depuis 13 ans et corrigée dans les versions <strong>5.19.4</strong> et <strong>6.2.3</strong>.</p> <h2 id="-description-de-la-vulnérabilité">🐛 Description de la vulnérabilité</h2> <p>La vulnérabilité repose sur un enchaînement de mécanismes légitimes d&rsquo;ActiveMQ :</p> <ul> <li><strong>Jolokia</strong> (pont HTTP-to-JMX) expose une API REST permettant d&rsquo;invoquer des opérations sur les MBeans ActiveMQ</li> <li>L&rsquo;opération <strong><code>addNetworkConnector(String)</code></strong> sur le broker MBean accepte un URI de découverte</li> <li>Le transport <strong><code>vm://</code></strong> crée un broker à la volée si le nom référencé n&rsquo;existe pas, en acceptant un paramètre <code>brokerConfig</code> pointant vers une URL distante</li> <li>Le schéma <strong><code>xbean:</code></strong> délègue le chargement à Spring&rsquo;s <code>ResourceXmlApplicationContext</code>, instanciant tous les beans définis — permettant l&rsquo;exécution de commandes via <code>MethodInvokingFactoryBean</code> et <code>Runtime.getRuntime().exec()</code></li> </ul> <h2 id="-conditions-dexploitation">⚠️ Conditions d&rsquo;exploitation</h2> <ul> <li><strong>Authentifiée</strong> par défaut (credentials <code>admin:admin</code> très répandus)</li> <li><strong>Non authentifiée</strong> sur les versions <strong>6.0.0 à 6.1.1</strong> en raison de <strong>CVE-2024-32114</strong>, qui supprime les contraintes de sécurité sur le chemin <code>/api/*</code>, rendant Jolokia totalement accessible sans credentials</li> </ul> <h2 id="-lien-avec-des-vulnérabilités-antérieures">🔗 Lien avec des vulnérabilités antérieures</h2> <ul> <li><strong>CVE-2022-41678</strong> : RCE authentifiée via Jolokia et JDK MBeans (FlightRecorder) — le correctif avait introduit un <code>allow</code> global sur tous les MBeans ActiveMQ, créant la surface exploitée ici</li> <li><strong>CVE-2023-46604</strong> : RCE non authentifiée via chargement de Spring XML distant (même type de sink)</li> <li><strong>CVE-2016-3088</strong> : RCE authentifiée via la console web (sur la KEV CISA)</li> </ul> <h2 id="-secteurs-impactés">🎯 Secteurs impactés</h2> <p>ActiveMQ est largement déployé dans les secteurs : <strong>services financiers</strong>, <strong>santé</strong>, <strong>gouvernement</strong>, <strong>e-commerce</strong>.</p>