漏洞概述 漏洞名称: CVE-2026-45505 漏洞类型: 不正确的输入验证、不正确的代码生成控制(代码注入) 描述: Apache ActiveMQ Broker、Apache ActiveMQ All、Apache ActiveMQ Jolokia 的 发现包装器绕过漏洞。非括号发现的包装器如 和 错误地通过了 CVE-2026-34197 的修复验证。 影响范围 受影响版本: - Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 5.19.7 之前 - Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 6.0.0 之前 6.2.6 - Apache ActiveMQ All (org.apache.activemq:activemq-all) 5.19.7 之前 - Apache ActiveMQ All (org.apache.activemq:activemq-all) 6.0.0 之前 6.2.6 - Apache ActiveMQ (org.apache.activemq:activemq) 5.19.7 之前 - Apache ActiveMQ (org.apache.activemq:activemq) 6.0.0 之前 6.2.6 修复方案 建议: 升级到版本 5.19.7 或 6.2.6,以修复该问题。 原始描述 Apache ActiveMQ 暴露了 Jolokia JMX-HTTP 桥接在 上。默认的 Jolokia 访问策略允许对 ActiveMQ MBeans 执行操作。攻击者可以通过构造发现 URI 触发 VM 传输的 brokerConfig 参数,以加载远程 Spring XML 应用上下文。由于 Spring 的 实例化单例 bean 之前会验证 BrokerService 的配置,任意代码执行发生在 broker 的 JVM 中,通过工厂方法如 。 参考链接 NVD 详情 ActiveMQ 邮件列表 CVE 记录 其他信息 报告者: Christopher L. Shannon 发布日期: 2020年6月1日 联系邮箱: users-help@activemq.apache.org 订阅和联系 订阅: users-unsubscribe@activemq.apache.org 帮助: users-help@activemq.apache.org 更多信息: ActiveMQ 联系页面