Pesquisadores de segurança descobriram uma vulnerabilidade de remote code execution (RCE) no Apache ActiveMQ Classic que permaneceu sem detecção por 13 anos e poderia ser explorada para executar comandos arbitrários.
A falha foi identificada com a ajuda do assistente de IA Claude, que apontou um caminho de exploit ao analisar como componentes desenvolvidos de forma independente interagem entre si.
Rastreada como
CVE-2026-34197
, a falha recebeu pontuação 8,8 de severidade alta e afeta versões do Apache ActiveMQ/Broker anteriores à 5.19.4, além de todas as versões da linha 6.0.0 até 6.2.3.
Esse também foi o motivo de ela ter passado despercebida por mais de uma década.
O Apache ActiveMQ é um message broker de código aberto escrito em Java, usado para lidar com comunicação assíncrona por meio de filas de mensagens ou tópicos.
Embora o projeto já tenha uma ramificação mais recente, o Artemis, com desempenho superior, a edição Classic afetada pela
CVE-2026-34197
segue amplamente implantada em ambientes corporativos, backends web, órgãos públicos e sistemas empresariais baseados em Java.
O pesquisador da Horizon3, Naveen Sunkavally, disse ter encontrado o problema “com nada além de alguns prompts básicos” no Claude.
“Isso foi 80% Claude com 20% de embrulho feito por um humano”, afirmou.
Segundo Sunkavally, o Claude apontou a falha após examinar vários componentes isolados, incluindo Jolokia, JMX, network connectors e VM transports.
“Cada recurso, isoladamente, faz o que deveria fazer, mas, juntos, eles se tornaram perigosos.
Foi exatamente aí que o Claude se destacou, ao montar esse caminho de ponta a ponta com clareza e sem suposições”, disse o pesquisador.
A vulnerabilidade foi reportada aos mantenedores do Apache em 22 de março e corrigida em 30 de março nas versões 6.2.3 e 5.19.4 do ActiveMQ Classic.
Um relatório da Horizon3 explica que a falha nasce do fato de a API de gerenciamento Jolokia do ActiveMQ expor uma função do broker chamada addNetworkConnector, que pode ser abusada para carregar configurações externas.
Ao enviar uma requisição especialmente criada, um atacante pode forçar o broker a buscar um arquivo XML remoto do Spring e executar comandos arbitrários do sistema durante a inicialização.
O problema exige autenticação via Jolokia, mas se torna não autenticado nas versões 6.0.0 até 6.1.1 por causa de outro bug, a
CVE-2024-32114
, que expõe a API sem controle de acesso.
Os pesquisadores da Horizon3 destacaram o risco da nova falha, citando outras CVEs do ActiveMQ que já foram usadas por invasores em ataques reais.
“Recomendamos que organizações que executam ActiveMQ tratem isso como alta prioridade, já que o ActiveMQ tem sido alvo recorrente de atacantes em cenários reais, e os métodos de exploração e pós-exploração do ActiveMQ são bem conhecidos”, afirmou a Horizon3.
“Tanto a
CVE-2016-3088
, uma RCE autenticada que afeta o web console, quanto a
CVE-2023-46604
, uma RCE não autenticada que afeta a porta do broker, estão na lista KEV da CISA.”
Embora a
CVE-2026-34197
ainda não tenha sido reportada como explorada ativamente, os pesquisadores dizem que os sinais de exploração podem ser vistos nos logs do broker do ActiveMQ.
Eles recomendam procurar conexões suspeitas que usem o protocolo interno VM e o parâmetro brokerConfig=xbean:http://.
A execução de comandos ocorre durante várias tentativas de conexão.
Se aparecer uma mensagem de aviso sobre problema de configuração, os pesquisadores afirmam que o payload já terá sido executado.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...