Apache ActiveMQ 认证用户 RCE 漏洞 (CVE-2026-41844)

漏洞概述 漏洞名称：Improper Input Validation, Improper Control of Generation of Code ('Code Injection') 漏洞描述：Apache ActiveMQ、Apache ActiveMQ Broker、Apache ActiveMQ All 存在一个漏洞，允许经过身份验证的攻击者通过 admin web 控制台页面构造恶意 broker 名称，绕过名称验证以包含一个 xbean 绑定。攻击者可以利用 VM 传输加载远程 Spring XML 应用程序，并通过 DestinationView xbean 发送消息触发 VM 传输创建，从而引用恶意 broker 名称，导致加载恶意 Spring XML 上下文文件。由于 Spring 的 实例化所有单例 bean，在 BrokerService 验证配置之前，任意代码执行发生在 broker 的 JVM 上，通过 bean 工厂方法如 。 影响范围 受影响版本： - Apache ActiveMQ (org.apache.activemq:apache-activemq) 5.19.6 之前版本 - Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 5.19.6 之前版本 - Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 6.0.0 之前 6.2.5 版本 - Apache ActiveMQ All (org.apache.activemq:activemq-all) 5.19.6 之前版本 - Apache ActiveMQ All (org.apache.activemq:activemq-all) 6.0.0 之前 6.2.5 版本 修复方案 建议升级版本：6.2.5 或 5.19.6，这些版本修复了该漏洞。 参考链接 Apache ActiveMQ 官方网站 CVE 记录 贡献者 jsjcw (finder)

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Apache ActiveMQ 认证用户 RCE 漏洞 (CVE-2026-41844)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！