CVE詳細 - CVE-2026-34197-

CVE-2026-34197 の詳細

CVEの情報

説明:
Improper Input Validation, Improper Control of Generation of Code ('Code Injection') vulnerability in Apache ActiveMQ Broker, Apache ActiveMQ. Apache ActiveMQ Classic exposes the Jolokia JMX-HTTP bridge at /api/jolokia/ on the web console. The default Jolokia access policy permits exec operations on all ActiveMQ MBeans (org.apache.activemq:*), including BrokerService.addNetworkConnector(String) and BrokerService.addConnector(String). An authenticated attacker can invoke these operations with a crafted discovery URI that triggers the VM transport's brokerConfig parameter to load a remote Spring XML application context using ResourceXmlApplicationContext. Because Spring's ResourceXmlApplicationContext instantiates all singleton beans before the BrokerService validates the configuration, arbitrary code execution occurs on the broker's JVM through bean factory methods such as Runtime.exec(). This issue affects Apache ActiveMQ Broker: before 5.19.4, from 6.0.0 before 6.2.3; Apache ActiveMQ All: before 5.19.4, from 6.0.0 before 6.2.3; Apache ActiveMQ: before 5.19.4, from 6.0.0 before 6.2.3. Users are recommended to upgrade to version 5.19.4 or 6.2.3, which fixes the issue

CVE更新日: 2026-04-07 09:16:20.967000

CVSSバージョン: 3.1

CVSSスコア: 8.8

KEVの情報

KEV更新日: 2026-04-16

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST（Forum of Incident Response and Security Teams）が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.466380000

EPSS更新日: 2026-04-19 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation（悪用状況）、Technical Impact（技術的影響）、Automatable（自動攻撃の可否）を判定します。

Exploitation: active

Technical Impact: high

Automatable: False

AIを使った解説

解説:

CVE‑2026‑34197 調査結果

1. 脆弱性の概要

Apache ActiveMQ Classic / ActiveMQ Broker / ActiveMQ All に存在する不適切な入力検証（CWE‑20）およびコード生成の不適切な制御（CWE‑94）によるリモートコード実行（RCE）脆弱性。

ActiveMQ の Web コンソールが提供する Jolokia JMX‑HTTP API（/api/jolokia/）が、デフォルトで exec 操作を許可しており、認証済み攻撃者が addNetworkConnector(String) などの MBean 操作を悪用して外部 URL から Spring XML を読み込み、任意コード実行が可能となる。

1.1 影響

認証済み攻撃者が ActiveMQ ブローカー JVM 上で任意コード実行（RCE）可能
外部 Spring XML を読み込ませ Runtime.exec() を実行可能
CISA KEV に登録され悪用確認済み

1.2 深刻度

CVSS 3.1：8.8（High）
CVSS 4.0：未評価（NVD）

2. 対象となる環境

2.1 影響を受ける OS / バージョン

OS 依存ではなく ActiveMQ バージョン依存。 - ActiveMQ Broker：5.19.4 未満 - ActiveMQ All：5.19.4 未満 - ActiveMQ Classic：5.19.4 未満 - ActiveMQ 6 系：6.0.0〜6.2.2（6.2.3 未満）

2.2 影響を受ける設定

/api/jolokia/ が有効
Jolokia の exec 操作が許可されている
JMX / Jolokia を公開している構成
認証済み低権限アカウントで悪用可能

3. 影響を受けた時の兆候

不審な Runtime.exec プロセス生成
Jolokia API への addNetworkConnector などの不審なリクエスト
外部 URL（xbean:/ http://）へのアクセスログ
Spring XML 読み込みに伴う異常動作

4. 推奨対策

4.1 本対策

ActiveMQ 5 系：5.19.4 へ更新
ActiveMQ 6 系：6.2.3 へ更新

4.2 暫定回避策（緩和策）

Jolokia API を外部公開しない
exec 操作を禁止するポリシー設定
管理インターフェースを内部ネットワークに限定
認証情報の強化

参照サイト

NVDサイト

NVDでCVEの詳細を見る

戻る