Des chercheurs en sécurité ont mis en lumière une vulnérabilité de Remote Code Execution (RCE) dans Apache ActiveMQ Classic, ignorée pendant treize ans, qui permettrait à des hackers d’exécuter des commandes arbitraires.
Cette faille, répertoriée sous le numéro CVE-2026-34197, a été classée avec un score de gravité élevé de 8.8. Elle concerne les versions d’Apache ActiveMQ/Broker antérieures à 5.19.4 ainsi que toutes les versions de 6.0.0 à 6.2.3.
La découverte a été facilitée par l’assistant IA Claude, qui a identifié un mode d’exploitation en analysant les interactions entre les composants développés indépendamment.
Les chercheurs de Horizon3, dirigés par Naveen Sunkavally, ont trouvé le problème en utilisant simplement quelques invites basiques avec Claude : « C’était 80% Claude et 20% du façonnage humain », a-t-il commenté.
Cette vulnérabilité, qui a été rapportée aux mainteneurs d’Apache le 22 mars, a été corrigée le 30 mars dans les versions 6.2.3 et 5.19.4 d’ActiveMQ Classic.
Un rapport de Horizon3 révèle que la faille provient de l’API de gestion Jolokia d’ActiveMQ, qui expose une fonction de l’instance de courtage pouvant être exploitée pour charger des configurations externes.
En envoyant une requête spécialement conçue, un attaquant peut inciter le courtier à récupérer un fichier XML Spring distant et à exécuter des commandes système arbitraires lors de son initialisation.
Bien que l’authentification via Jolokia soit nécessaire, celle-ci devient non authentifiée dans les versions 6.0.0 à 6.1.1 à cause d’un autre bug, CVE-2024-32114, qui expose l’API sans contrôle d’accès.
Source: Horizon3
Les chercheurs de Horizon3 ont mis en garde sur les dangers liés à cette vulnérabilité récemment découverte, rappelant que d’autres CVE d’ActiveMQ ont été ciblés lors d’attaques réelles.
Les chercheurs conseillent aux organisations utilisant ActiveMQ de traiter cette vulnérabilité comme une priorité élevée, car ActiveMQ a souvent été l’objet d’attaques. Les méthodes d’exploitation sont bien connues, notamment pour les CVE-2016-3088 (RCE authentifiée affectant la console web) et CVE-2023-46604 (RCE non authentifiée touchant le port du courtier), qui figurent sur la liste KEV de CISA.
Bien que CVE-2026-34197 ne soit pas encore signalé comme activement exploité, des signes d’exploitation sont visibles dans les journaux du courtier ActiveMQ. Les chercheurs recommandent de surveiller les connexions suspectes sur le courtier utilisant le protocole de transport interne VM, avec le paramètre de requête brokerConfig=xbean:http://.
L’exécution des commandes se produit lors de plusieurs tentatives de connexion. En cas d’apparition d’un message d’avertissement concernant un problème de configuration, cela indiquerait que la charge utile a déjà été exécutée.