| 漏洞类型 | 代码注入 | 发现时间 | 2026-04-08 | 漏洞等级 | 高危 |
| MPS编号 | MPS-xwyr-fole | CVE编号 | CVE-2026-34197 | 漏洞影响广度 | 广 |
漏洞危害
| OSCS 描述 |
| Apache ActiveMQ Classic 是 Apache Software Foundation 开源的 Java 消息中间件,用于构建 JMS 消息代理与系统集成场景。 受影响版本中,Jolokia JMX-HTTP 桥接接口 /api/jolokia/ 在默认策略下允许已认证用户调用 BrokerView 暴露的 addConnector(String) 与 addNetworkConnector(String),传入恶意 discovery URI 后可经 VM transport 加载远程 Spring XML,且 Bean 实例化发生在 Broker 配置校验前,最终在 Broker JVM 上执行任意代码。 修复版本中通过在 BrokerView.addConnector(String) 和 addNetworkConnector(String) 调用前新增 validateAllowedUrl/validateAllowedUri 校验,禁止 vm scheme 及其嵌套 composite URI 进入底层连接器创建流程,从而阻断远程 Spring XML 加载路径。 参考链接:https://www.oscs1024.com/hd/MPS-xwyr-fole |
影响范围及处置方案
OSCS 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| activemq (0,5.19.4) | 升级 | 将组件 activemq 升级至 5.19.4 及以上版本 |
| activemq [6.0.0,6.2.3) | 升级 | 将组件 activemq 升级至 6.2.3 及以上版本 |
| org.apache.activemq:activemq-broker [6.0.0,6.2.3) | 升级 | 将组件 org.apache.activemq:activemq-broker 升级至 6.2.3 及以上版本 |
| org.apache.activemq:activemq-all (-∞,5.19.4) | 升级 | 将组件 org.apache.activemq:activemq-all 升级至 5.19.4 及以上版本 |
| org.apache.activemq:activemq-broker (-∞,5.19.4) | 升级 | 将组件 org.apache.activemq:activemq-broker 升级至 5.19.4 及以上版本 |
| org.apache.activemq:activemq-all [6.0.0,6.2.3) | 升级 | 将组件 org.apache.activemq:activemq-all 升级至 6.2.3 及以上版本 |
| 参考链接:https://www.oscs1024.com/hd/MPS-xwyr-fole | ||
排查方式
| 方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-xwyr-fole
https://nvd.nist.gov/vuln/detail/CVE-2026-34197
https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt
