漏洞概述 CVE编号: CVE-2026-34197 描述: Apache ActiveMQ Broker 存在一个“代码注入”漏洞,允许未经身份验证的攻击者通过构造恶意 URI 触发 VM 传输的 BrokerConfig 参数,加载远程 Spring XML 应用上下文。由于 Spring 的 ResourceXmlApplicationContext 在 BrokerService 验证配置之前实例化所有单例 bean,导致任意代码执行。 影响范围 受影响版本: - Apache ActiveMQ Broker: 5.19.4 之前,6.0.0 之前 6.2.3 - Apache ActiveMQ All: 5.19.4 之前,6.0.0 之前 6.2.3 - Apache ActiveMQ Web: 5.19.4 之前,6.0.0 之前 6.2.3 修复方案 建议: 升级到版本 5.19.4 或 6.2.3 以修复该漏洞。 其他信息 CVSS 评分: 未提供 NIST 评估,ADP 评估为 8.8 HIGH 参考链接: - Openwall - Apache ActiveMQ - CISA 弱点枚举 CWE-20: Improper Input Validation CWE-94: Improper Control of Generation of Code ('Code Injection') 已知受影响软件配置 Configuration 1: - 从 5.19.4 到 6.2.3 - 从 5.19.4 到 6.2.3 变更历史 8 条变更记录,具体详情可查看 show changes。 快速信息 CVE 字典条目: CVE-2026-34197 发布日期: 2026年4月7日 最后修改日期: 2026年4月16日 来源: Apache Software Foundation 参考链接 Openwall Apache ActiveMQ CISA 弱点枚举 CWE-20: Improper Input Validation CWE-94: Improper Control of Generation of Code ('Code Injection') 已知受影响软件配置 Configuration 1: - 从 5.19.4 到 6.2.3 - 从 5.19.4 到 6.2.3 变更历史 8 条变更记录,具体详情可查看 show changes。 快速信息 CVE 字典条目: CVE-2026-34197 发布日期: 2026年4月7日 最后修改日期: 2026年4月16日 来源: Apache Software Foundation 参考链接 Openwall Apache ActiveMQ CISA 弱点枚举 CWE-20: Improper Input Validation CWE-94: Improper Control of Generation of Code ('Code Injection') 已知受影响软件配置 Configuration 1: - 从 5.19.4 到 6.2.3 - 从 5.19.4 到 6.2.3 变更历史 8 条变更记录,具体详情可查看 show changes。 快速信息 CVE 字典条目: CVE-2026-34197 发布日期: 2026年4月7日 最后修改日期: 2026年4月16日 来源: Apache Software Foundation 参考链接 Openwall Apache ActiveMQ CISA 弱点枚举 CWE-20: Improper Input Validation CWE-94: Improper Control of Generation of Code ('Code Injection') 已知受影响软件配置 Configuration 1: - 从 5.19.4 到 6.2.3 - 从 5.19.4 到 6.2.3 变更历史 8 条变更记录,具体详情可查看 show changes。 快速信息 CVE 字典条目: CVE-2026-34197 发布日期: 2026年4月7日 最后修改日期: 2026年4月16日 来源: Apache Software Foundation 参考链接 Openwall Apache ActiveMQ CISA 弱点枚举 CWE-20: Improper Input Validation CWE-94: Improper Control of Generation of Code ('Code Injection') 已知受影响软件配置 Configuration 1: - 从 5.19.4 到 6.2.3 - 从 5.19.4 到 6.2.3 变更历史 8 条变更记录,具体详情可查看 show changes。 快速信息 CVE 字典条目: CVE-2026-34197 发布日期: 2026年4月7日 最后修改日期: 2026年4月16日 来源: Apache Software Foundation 参考链接 Openwall Apache ActiveMQ CISA 弱点枚举 CWE-20: Improper Input Validation CWE-94: Improper Control of Generation of Code ('Code Injection') 已知受影响软件配置 Configuration 1: - 从 5.19.4 到 6.2.3 - 从 5.19.4 到 6.2.3 变更历史 8 条变更记录,具体详情可查看 show changes。 快速信息 CVE 字典条目: CVE-2026-34197 发布日期: 2026年4月7日 最后修改日期: 2026年4月16日 来源: Apache Software Foundation 参考链接 Openwall Apache ActiveMQ CISA 弱点枚举 CWE-20: Improper Input Validation CWE-94: Improper Control of Generation of Code ('Code Injection') 已知受影响软件配置 Configuration 1: - 从 5.19.4 到 6.2.3 - 从 5.19.4 到 6.2.3 变更历史 8 条变更记录,具体详情可查看 show changes。 快速信息 CVE 字典条目: CVE-2026-34197 发布日期: 2026年4月7日 最后修改日期: 2026年4月16日 来源: Apache Software Foundation 参考链接 Openwall Apache ActiveMQ CISA 弱点枚举 CWE-20: Improper Input Validation CWE-94: Improper Control of Generation of Code ('Code Injection') 已知受影响软件配置 Configuration 1: - 从 5.19.4 到 6.2.3 - 从 5.19.4 到 6.2.3 变更历史 8 条变更记录,具体详情可查看 show changes。 快速信息 CVE 字典条目: CVE-2026-34197 发布日期: 2026年4月7日 最后修改日期: 2026年4月16日 来源: Apache Software Foundation 参考链接 Openwall Apache ActiveMQ CISA 弱点枚举 CWE-20: Improper Input Validation CWE-94: Improper Control of Generation of Code ('Code Injection') 已知受影响软件配置 Configuration 1: - 从 5.19.4 到 6.2.3 - 从 5.19.4 到 6.2.3 变更历史 8 条变更记录,具体详情可查看 show changes。 快速信息 CVE 字典条目: CVE-2026-34197 发布日期: 2026年4月7日 最后修改日期: 2026年4月16日 来源: Apache Software Foundation 参考链接 Openwall Apache ActiveMQ CISA 弱点枚举 CWE-20: Improper Input Validation CWE-94: Improper Control of Generation of Code ('Code Injection') 已知受影响软件配置 Configuration 1: - 从 5.19.4 到 6.2.3 - 从 5.19.4 到 6.2.3 变更历史 8 条变更记录,具体详情可查看 show changes。 快速信息 CVE 字典条目: CVE-2026-34197 发布日期: 2026年4月7日 最后修改日期: 2026年4月16日 来源: Apache Software Foundation 参考链接 Openwall Apache ActiveMQ CISA 弱点枚举 CWE-20: Improper Input Validation CWE-94: Improper Control of Generation of Code ('Code Injection') 已知受影响软件配置 Configuration 1: - 从 5.19.4 到 6.2.3 - 从 5.19.4 到 6.2.3 变更历史 8 条变更记录,具体详情可查看 show changes。 快速信息 CVE 字典条目: CVE-2026-34197 发布日期: 2026年4月7日 最后修改日期: 2026年4月16日 来源: Apache Software Foundation 参考链接 Openwall Apache ActiveMQ [CISA](https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=C