Una defecto de seguridad de adhesión seriedad recientemente revelada en Apache ActiveMQ Classic ha sido objeto de explotación activa en la naturaleza, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
Para ello, la agencia ha añadido la vulnerabilidad, rastreada como CVE-2026-34197 (Puntuación CVSS: 8,8), a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que exige que las agencias del Poder Ejecutante Civil Federal (FCEB) apliquen las correcciones antaño del 30 de abril de 2026.
CVE-2026-34197 se ha descrito como un caso de firmeza de entrada incorrecta que podría provocar la inyección de código, lo que permitiría efectivamente a un atacante ejecutar código subjetivo en instalaciones susceptibles. Según Naveen Sunkavally de Horizon3.ai, CVE-2026-34197 ha estado “escondido a plena panorama” durante 13 primaveras.
“Un atacante puede invocar una operación de dependencia a través de la API Jolokia de ActiveMQ para engañar al corredor para que obtenga un archivo de configuración remoto y ejecute comandos arbitrarios del sistema eficaz”, agregó Sunkavally.
“La vulnerabilidad requiere credenciales, pero las credenciales predeterminadas (admin:admin) son comunes en muchos entornos. En algunas versiones (6.0.0–6.1.1), no se requieren credenciales correcto a otra vulnerabilidad, CVE-2024-32114, que expone inadvertidamente la API de Jolokia sin autenticación. En esas versiones, CVE-2026-34197 es efectivamente un RCE no autenticado”.
La vulnerabilidad afecta a las siguientes versiones:
- Agente Apache ActiveMQ (org.apache.activemq:activemq-broker) susodicho a 5.19.4
- Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 6.0.0 susodicho a 6.2.3
- Apache ActiveMQ (org.apache.activemq:activemq-all) susodicho a 5.19.4
- Apache ActiveMQ (org.apache.activemq:activemq-all) 6.0.0 susodicho a 6.2.3
Se recomienda a los usuarios que actualicen a la interpretación 5.19.4 o 6.2.3, que soluciona el problema. Actualmente no hay detalles sobre cómo se está explotando CVE-2026-34197 en la naturaleza, pero SAFE Security, en un mensaje publicado esta semana, reveló que los actores de amenazas están apuntando activamente a los puntos finales de dependencia de Jolokia expuestos en implementaciones de Apache ActiveMQ Classic.
Los datos de telemetría recopilados por Fortinet FortiGuard Labs todavía han descubierto docenas de intentos de explotación en los últimos días, y la actividad alcanzó su punto mayor el 14 de abril de 2026.
Los hallazgos demuestran una vez más que los plazos de explotación continúan colapsando a medida que los atacantes se abalanzan sobre las vulnerabilidades recientemente reveladas a un ritmo alarmantemente más rápido y violan los sistemas antaño de que puedan ser parcheados.
Apache ActiveMQ es un objetivo popular de ataque, con fallas en el intermediario de mensajes de código despejado explotadas repetidamente en varias campañas de malware desde 2021. En agosto de 2025, actores desconocidos utilizaron como armas una vulnerabilidad crítica en ActiveMQ (CVE-2023-46604, puntuación CVSS: 10.0) para difundir un malware de Linux llamado DripDropper.
“Donado el papel de ActiveMQ en la transporte empresarial y los canales de datos, las interfaces de mandato expuestas presentan un aventura de suspensión impacto, permitiendo potencialmente la filtración de datos, la interrupción del servicio o el movimiento vecino”, dijo SAFE Security. “Las organizaciones deben auditar todas las implementaciones para los puntos finales de Jolokia accesibles externamente, restringir el llegada a redes confiables, imponer una autenticación sólida y desactivar Jolokia cuando no sea necesario”.
