Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
ActiveMQ sotto attacco: CVE-2026-34197 già sfruttata, rischio RCE via Jolokia e credenziali default
Una vulnerabilità ad alta gravità in Apache ActiveMQ Classic sta attirando molta attenzione perché risulta già sfruttata attivamente in rete. Il problema è stato registrato come CVE-2026-34197 con punteggio CVSS 8.8 ed è stato inserito nel catalogo Known Exploited Vulnerabilities (KEV), un segnale chiaro che il rischio è concreto e che gli ambienti enterprise devono accelerare le attività di patch management.
Per le organizzazioni che dipendono da ActiveMQ come message broker in pipeline dati e sistemi di integrazione, una falla di questo tipo può tradursi in compromissioni rapide e impatti estesi.
CVE-2026-34197 nasce da una validazione impropria degli input e può portare a code injection fino a consentire l’esecuzione di comandi sul sistema operativo. In pratica un attaccante può richiamare un’operazione di gestione tramite la Jolokia API di ActiveMQ e indurre il broker a scaricare un file di configurazione remoto, arrivando poi a eseguire comandi arbitrari. Il requisito di credenziali non riduce abbastanza il rischio, perché in molti ambienti restano ancora attive credenziali di default come admin/admin. Inoltre in alcune versioni specifiche la situazione peggiora ulteriormente: nelle release 6.0.0 fino a 6.1.1 una vulnerabilità separata, CVE-2024-32114, può esporre Jolokia senza autenticazione, rendendo CVE-2026-34197 di fatto un RCE non autenticato.
Le versioni impattate includono:
- Apache ActiveMQ Broker prima della 5.19.4
- Linea 6.0.0 prima della 6.2.3, sia per i pacchetti activemq-broker sia per activemq-all
La mitigazione principale è l’aggiornamento a 5.19.4 o 6.2.3. In parallelo è consigliabile:
- Verificare se endpoint Jolokia sono esposti su Internet
- Limitare l’accesso alle sole reti fidate
- Applicare autenticazione robusta ed eliminare credenziali di default
- Disabilitare Jolokia dove non necessario
Dati di telemetria e osservazioni di settore indicano tentativi di sfruttamento in aumento e scansioni mirate verso interfacce di gestione esposte, confermando quanto le finestre di attacco si stiano riducendo tra disclosure e exploitation.