Bei Apache ActiveMQ handelt es sich um einen quelloffenen, protokollübergreifenden Message Broker, der eine zuverlässige und asynchrone Kommunikation zwischen Anwendungen ermöglicht. Die nun gepatchte Schwachstelle CVE-2026-34197 betrifft die Variante ActiveMQ Classic und steht im Zusammenhang mit der Jolokia-API. Sie erlaubt es einem authentifizierten Angreifer, beliebigen Code auszuführen.

Die Lücke wurde laut Quelle vor etwa zehn Tagen bekannt, nachdem sie 13 Jahre lang im Code der Software vorhanden gewesen war. Abhilfe schaffen die Versionen 5.19.5 und 6.2.3.

Entdeckt und dokumentiert wurde die Schwachstelle von Forschern des Unternehmens Horizon3. Diese wiesen darauf hin, dass eine Ausnutzung von CVE-2026-34197 zwar eine Authentifizierung voraussetzt, viele Apache-ActiveMQ-Installationen jedoch durch weithin bekannte Standard-Zugangsdaten geschützt sind. Hinzu kommt, dass sich die Lücke mit einer älteren Schwachstelle (CVE-2024-32114) verketten lässt, um eine nicht authentifizierte Codeausführung aus der Ferne zu erreichen.

Die US-Cybersicherheitsbehörde CISA nahm CVE-2026-34197 in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) auf und wies die Bundesbehörden an, das Update bis zum 30. April einzuspielen.

Zu den Angriffen, bei denen die Schwachstelle ausgenutzt wird, sind bislang keine Einzelheiten öffentlich verfügbar. Fortinet registrierte innerhalb der vergangenen Woche jedoch Dutzende Ausnutzungsversuche. SecurityWeek hat das Sicherheitsunternehmen um weitere Informationen zur Art dieser Versuche gebeten.