Die Sicherheitslücke CVE-2026-34197 betrifft die Jolokia-API des Open-Source-Message-Brokers Apache ActiveMQ und ermöglicht authentifizierten Angreifern die Ausführung beliebigen Codes. Besonders brisant: Die Fachleute von Horizon3, die die Lücke entdeckten und am 7. April offenlegten, wiesen darauf hin, dass viele ActiveMQ-Installationen mit standardmäßigen, allgemein bekannten Zugangsdaten abgesichert sind. Dies senkt die Einstiegshürde für potenzielle Attacken erheblich.
Darüber hinaus lässt sich CVE-2026-34197 mit der älteren Schwachstelle CVE-2024-32114 kombinieren, um eine uneingeschränkte Remote-Code-Execution ohne jegliche Authentifizierung zu erreichen. Diese Verkettung machen die Lücke zu einer bevorzugten Angriffsoberfläche für Cyberkriminelle.
Bereits eine Woche nach der Veröffentlichung registrierte Fortinet Dutzende von Ausnutzungsversuchen. Die genaue Natur dieser Attacken bleibt derzeit unklar, doch die Menge deutet auf organisierte Angreifer hin, die schnell reagiert haben.
Apache hat die Schwachstelle bereits mit den Versionen 5.19.5 und 6.2.3 gepatcht. Allerdings besteht eine kritische Zeitspanne zwischen Veröffentlichung und Patch-Deployment in vielen Organisationen – ein Fenster, das Angreifer aktiv ausnutzen.
Die US-Cybersecurity and Infrastructure Security Agency (CISA) hat CVE-2026-34197 in ihren Katalog der bekannt ausgebeuteten Sicherheitslücken (KEV) aufgenommen und fordert von allen bundesbehördlichen Stellen, den Patch bis 30. April einzuspielen. Dies ist ein weiteres Zeichen für die ernsthafte Bedrohungslage.
Für deutsche Unternehmen und Behörden, die ActiveMQ einsetzen, lautet die klare Handlungsempfehlung: Sofort eine Bestandsaufnahme durchführen, welche Systeme betroffen sind, und umgehend auf die patchierten Versionen upgraden. Falls ein zeitnaher Patch nicht möglich ist, sollten Standard-Passwörter unverzüglich geändert und der Zugriff auf die Jolokia-API durch Netzwerksegmentierung oder Firewalls eingeschränkt werden. Angesichts der bereits dokumentierten Ausnutzung ist Eile geboten.