CISA紧急要求各机构修复这个潜伏13年的Apache ActiveMQ高危漏洞

美国网络安全和基础设施安全局（CISA）近日就一个新被利用的Apache ActiveMQ漏洞发出警报，要求各联邦机构在两周内完成修补，而攻击者正在积极针对这个潜伏超过十年的安全漏洞发起攻击。

CISA于上周四将该漏洞（编号CVE-2026-34197）添加至已知被利用漏洞（KEV）目录，随即触发了《约束性操作指令》（BOD）22-01的最后期限，要求各联邦民事行政机构在4月30日前完成修复，否则须提交未能修复的说明。

该漏洞存在于Apache ActiveMQ中。Apache ActiveMQ是一款开源消息代理软件，用于在各应用程序和服务之间传递数据。该漏洞允许已通过身份验证的用户通过Jolokia管理API执行任意代码，实际上是将这款消息传输工具变成了一个远程命令执行器。

该漏洞由Horizon3研究员纳文·孙卡瓦利（Naveen Sunkavally）在约一周前披露，他借助Anthropic公司的Claude AI助手完成了这一发现。据Horizon3介绍，该漏洞在代码库中已潜伏13年之久，直到近日才被发现。目前ActiveMQ 5.19.5和6.2.3版本已提供修复补丁。

孙卡瓦利表示：”CVE-2026-34197是Apache ActiveMQ Classic中的一个远程代码执行漏洞，已在代码中隐藏了13年。攻击者可通过ActiveMQ的Jolokia API调用管理操作，诱使代理程序获取远程配置文件并执行任意操作系统命令。”

尽管该漏洞从技术层面来看需要身份验证才能触发，但Horizon3指出，许多部署环境仍在使用默认凭据（经典的”admin:admin”），这使得初始访问极为轻松。更为严峻的是，在某些版本（6.0.0至6.1.1）中，此前已知的另一个漏洞CVE-2024-32114可以在无需身份验证的情况下直接暴露Jolokia API，由此将两个漏洞串联，形成一条无需凭据即可实现远程代码执行的攻击链。

孙卡瓦利说道：”该漏洞需要凭据才能利用，但在许多环境中默认凭据非常普遍。在某些版本中，根本不需要任何凭据。在那些版本中，CVE-2026-34197实际上是一个无需身份验证的远程代码执行漏洞。”

正是这种组合使得该漏洞被列入CISA的KEV目录——该目录专门收录已在实际环境中被攻击者利用的漏洞。此外，暴露在外的攻击面相当可观：威胁监控机构ShadowServer目前正在追踪超过8000个可从公共互联网访问的ActiveMQ实例。

这也并非Apache ActiveMQ第一次成为攻击目标。该平台曾多次卷入安全事件，从加密货币挖矿程序到僵尸网络基础设施均有涉及。正如孙卡瓦利所指出的，这些攻击手法并无特别新颖之处，这意味着系统管理员有责任尽快采取行动加以应对。

Q&A

Q1：CVE-2026-34197漏洞是什么？它有多危险？

A：CVE-2026-34197是Apache ActiveMQ Classic中的一个远程代码执行漏洞，已在代码中潜伏了整整13年。该漏洞允许攻击者通过Jolokia API调用管理操作，执行任意系统命令。由于大量部署环境仍使用默认凭据”admin:admin”，攻击者可以轻易获得初始访问权限。此外，与CVE-2024-32114组合后，还可形成无需任何凭据即可执行远程代码的攻击链，危险程度极高。

Q2：Apache ActiveMQ漏洞影响哪些版本？如何修复？

A：该漏洞影响范围较广，尤其是6.0.0至6.1.1版本存在与CVE-2024-32114组合后无需身份验证即可被利用的风险。官方已在ActiveMQ 5.19.5和6.2.3版本中提供了修复补丁。受影响的用户应尽快升级至上述版本，同时建议修改默认凭据，避免使用”admin:admin”等弱凭据配置。

Q3：CISA要求修复Apache ActiveMQ漏洞的截止时间是什么时候？

A：CISA已将CVE-2026-34197加入已知被利用漏洞（KEV）目录，并依据《约束性操作指令》BOD 22-01，要求所有联邦民事行政机构在2026年4月30日前完成修复。如无法按时完成，相关机构需提交说明报告。威胁监控机构ShadowServer目前追踪到超过8000个可从公共互联网访问的ActiveMQ实例，攻击面不容忽视。