【缝隙公告】Apache ActiveMQ远程代码执行缝隙(CVE-2026-42588)

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】Apache ActiveMQ远程代码执行缝隙(CVE-2026-42588)

颁布功夫 2026-06-02

一、缝隙概述

0602缝隙概述.png

Apache ActiveMQ是一款由Apache软件基金会开发的开源新闻中央件，，，，，，，，支持JMS、AMQP、MQTT、STOMP等多种新闻和谈。。。。。。。。它用于构建高靠得住的异步新闻传递系统，，，，，，，，实现利用间的解耦与异步通讯，，，，，，，，宽泛利用于企业级新闻队劣注散布式系统与微服务架构钟祝。。。。。。。

2026年6月2日，，，，，，，，8827太阳集团安全应急响应中心（VSRC）监测到Apache ActiveMQ远程代码执行缝隙。。。。。。。。该缝隙源于Web Console默认露出的/api/jolokia/JMX-HTTP桥接接口对输入参数校验不及，，，，，，，，且默认Jolokia接见战术允许挪用org.apache.activemq:*有关MBean的exec操作。。。。。。。。经过身份认证的攻击者可通过机关恶意masterslave://发现URI，，，，，，，，触发VM Transport中的brokerConfig参数加载Spring ResourceXmlApplicationContext，，，，，，，，从而在BrokerService实现配置校验前事俘化恶意Bean并执行Runtime.exec()等步骤，，，，，，，，最终在Broker JVM中实现远程代码执杏祝。。。。。。。攻击者成功利用后可进一步节造新闻服务、窃取业务数据或横向渗入内部系统。。。。。。。。

二、影响领域

Apache ActiveMQ Broker < 5.19.7

6.0.0 <= Apache ActiveMQ Broker < 6.2.6

Apache ActiveMQ All < 5.19.7

6.0.0 <= Apache ActiveMQ All < 6.2.6

Apache ActiveMQ < 5.19.7

6.0.0 <= Apache ActiveMQ < 6.2.6

三、安全措施

3.1 升级版本

官方已颁布建复补丁�。。。。。。。�，，，，，，，以建复该缝隙。。。。。。。。

Apache ActiveMQ Broker >= 5.19.7

Apache ActiveMQ All >= 5.19.7

Apache ActiveMQ >= 5.19.7

或升级至：

Apache ActiveMQ Broker >= 6.2.6

Apache ActiveMQ All >= 6.2.6

Apache ActiveMQ >= 6.2.6

下载链接：

https://activemq.apache.org/

3.2 一时措施

暂无。。。。。。。。

3.3 通用建议

定期更新系统补丁�。。。。。。。�，，，，，，，削减系统缝隙，，，，，，，，提升服务器的安全性。。。。。。。。

加强系统和网络的接见节造，，，，，，，，批改防火墙战术，，，，，，，，关关非必要的利用端口或服务，，，，，，，，削减将危险服务（如SSH、RDP等）露出到公网，，，，，，，，削减攻击面。。。。。。。。

使用企业级安全产品，，，，，，，，提升企业的网络安全机能。。。。。。。。

加强系统用户和权限治理，，，，，，，，启用多成分认证机造和最幼权限准则，，，，，，，，用户和软件权限应维持在最低限度。。。。。。。。

启用强密码战术并设置为定期批改。。。。。。。。

3.4 参考链接

https://nvd.nist.gov/vuln/detail/CVE-2026-42588/

https://lists.apache.org/thread/ns0zktfo16s9ql2mmtqtlb6p6xcs45xm

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研