Nach der Analyse von Horizon3.ai handelt es sich bei CVE-2026-34197 um eine Umgehung von CVE-2022-41678. Dieser ältere Fehler erlaubte es Angreifern, durch den Aufruf bestimmter JDK-MBeans Webshells auf die Festplatte zu schreiben. Der damalige Patch fügte ein Flag hinzu, das sämtliche Operationen aller ActiveMQ-MBeans über Jolokia aufrufbar machte. Genau in einer dieser Operationen, die zur Laufzeit Broker-zu-Broker-Brücken einrichtet, entdeckten die Forscher das Problem der Codeausführung.

Für die Ausnutzung muss zusätzlich das VM-Transport-Feature von ActiveMQ ins Visier genommen werden. Diese Funktion war dafür gedacht, einen Broker in eine Anwendung einzubetten, sodass Client und Broker direkt innerhalb derselben JVM kommunizieren. Verweist eine VM-Transport-URI auf einen nicht existierenden Broker, erzeugt ActiveMQ einen neuen und akzeptiert dabei einen Parameter, der ihn anweist, eine Konfiguration zu laden – diese kann von Angreifern bereitgestellte URLs enthalten.

Durch die Verkettung beider Mechanismen lässt sich der Broker laut Horizon3.ai dazu bringen, eine Spring-XML-Konfigurationsdatei abzurufen und auszuführen, die „alle Bean-Definitionen instanziiert und so zur Ausführung von Schadcode aus der Ferne führt".

Das Sicherheitsunternehmen weist zudem darauf hin, dass die Codeausführung auf manchen Installationen ganz ohne Authentifizierung gelingen kann – über CVE-2024-32114, der die Jolokia-API für nicht angemeldete Nutzer freilegt. „CVE-2024-32114 ist eine separate Schwachstelle in ActiveMQ 6.x, bei der der Pfad /api/*, zu dem auch der Jolokia-Endpunkt gehört, versehentlich aus den Sicherheitsvorgaben der Web-Konsole entfernt wurde. Das bedeutet, dass Jolokia in den ActiveMQ-Versionen 6.0.0 bis 6.1.1 völlig unauthentifiziert ist", erläutert Horizon3.ai.

Die neu entdeckte Schwachstelle wurde in den ActiveMQ-Classic-Versionen 5.19.4 und 6.2.3 behoben.