股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
警惕!Apache ActiveMQ Jolokia远程代码执行漏洞安全通告
发布时间 :2026年06月02日
类型 :公司新闻
分享:
Apache披露ActiveMQ Web Console中与Jolokia JMX-HTTP 桥相关的远程代码执行漏洞 CVE-2026-45505,该漏洞无法被未授权攻击者直接利用。根据 Apache 官方公告,攻击成立的前提是攻击者能够对 ActiveMQ Web Console 完成认证,并可访问 /api/jolokia/ 管理接口;在此前提下,可借助 addNetworkConnector / addConnector 调用触发远程 Spring XML 加载并执行任意代码。建议相关客户按高危漏洞管理,优先核查 Web Console 暴露面、认证账号、Jolokia 访问策略和升级状态。
漏洞概述
Apache 于 2026 年 5 月 31 日发布安全公告,披露 ActiveMQ Web Console 中与 Jolokia JMX-HTTP 桥相关的远程代码执行漏洞 CVE-2026-45505。该问题的根因不是传统“未授权 RCE”,而是默认访问策略允许在 ActiveMQ MBean 上执行敏感方法,认证后的攻击者可构造恶意 discovery URI,触发 VM 传输加载远程 Spring XML 应用上下文,从而在服务端执行任意代码。
从官方描述看,该漏洞本质上属于管理面暴露与默认能力边界控制不足叠加后的高风险问题。对客户真正重要的不是记住单个方法名,而是明确:只要 ActiveMQ 管理面可达、认证入口未收敛、Jolokia 暴露未控制,攻击者就可能把“已登录的管理入口”转化为代码执行通道。
影响范围
优先排查的资产
公网可访问的 ActiveMQ 管理控制台
位于 DMZ、集成区或中间件区的消息代理节点
与外部系统大量联通、承载关键业务流转的 Broker 节点
容易被忽视的场景
仅对办公网开放,但缺少堡垒机或源地址限制的管理入口
共享管理账号、弱口令、口令复用的 Web Console
历史测试环境、备份节点、临时恢复节点仍保留 Web Console
利用前提与暴露条件
在研判风险时,建议把“受影响版本”和“可被实际利用”分开看。以下条件越多同时满足,实际风险越高。
运行受影响版本:< 5.19.7 或 6.0.0 <= version < 6.2.6。
启用了 ActiveMQ Web Console,且攻击者能够访问 /api/jolokia/。
攻击者具备有效认证能力,例如已掌握管理账号口令、低权限 Web 账号或被窃取会话。
Jolokia 默认访问策略仍允许执行敏感管理操作,未做最小权限收敛。
关联风险提示:Apache 在同批次还披露了 CVE-2026-49157,指出默认配置下非管理员 Web 用户仍可能保留 Broker 管理能力。若客户存在共享账号、弱口令、权限分配过宽或互联网暴露的登录入口,CVE-2026-45505 的实际可利用性会显著上升。
风险说明与处置优先级
排查建议
建议客户把排查分成“版本与暴露面确认”“日志与配置核查”“主机与网络异常回溯”三层执行,避免只看版本不看实际暴露状态。
可直接执行的最小检查点:先确认版本是否已升级到 5.19.7 / 6.2.6 及以上;再确认 /api/jolokia/ 是否仍对非受控网络开放;最后审计是否存在异常账号、异常敏感方法调用和异常远端 connector 配置。这三步能快速区分“仅受影响”与“已具备现实攻击面”。
缓解与修复建议
亚信安全解决方案
亚信安全规则研发团队已经完成漏洞对应的虚拟补丁、漏洞扫描规则、流量(怒狮)规则的开发与适配。经过测试,流量(怒狮)规则特征库版本(nsd$3000.253、nsc$1000.834)可支持检测,虚拟补丁2026.04.09版本已经具备阻断与检测能力。将在流量(怒狮)规则最新特征库版本(nsd$3000.258、nsc$1000.835)、虚拟补丁和漏洞扫描规则 2026-06-04 版本中对规则描述进行优化,增加CVE-2026-45505漏洞相关信息。
本文发布的补丁下载链接均源自各原厂官方网站。尽管我们努力确保官方资源的安全性,但在互联网环境中,文件下载仍存在潜在风险。为保障您的设备安全与数据隐私,敬请您在点击下载前谨慎核实其安全性和可信度。
分享到微信
X