En bref

  • CVE-2026-34197 (CVSS 8.8) : une faille RCE dans Apache ActiveMQ Classic dormait depuis 13 ans
  • Exploitation possible via l API Jolokia, potentiellement sans authentification sur ActiveMQ 6.x
  • Mettre a jour immédiatement vers ActiveMQ Classic 6.1.6+ ou 5.18.7+ et restreindre l acces a l API Jolokia

Une vulnérabilité critique d exécution de code a distance dans Apache ActiveMQ Classic vient d etre revelee apres etre restee indetectee pendant treize ans dans le code source du broker de messages open source le plus utilise au monde. Referencee CVE-2026-34197 avec un score CVSS de 8.8, cette faille permet a un attaquant d invoquer des operations de gestion via l API Jolokia pour forcer le broker a recuperer un fichier de configuration distant contenant des definitions Spring XML malveillantes, aboutissant a l exécution de commandes arbitraires sur le système sous-jacent. La gravite de la situation est amplifiee par le fait qu une seconde vulnérabilité, CVE-2024-32114, expose l API Jolokia sans authentification sur les versions ActiveMQ 6.0.0 a 6.1.1, rendant l exploitation possible sans aucun identifiant. Avec des milliers d instances ActiveMQ exposees sur Internet, cette decouverte représente une menace serieuse pour les architectures de messagerie d entreprise, comparable en gravite aux recents zero-days exploites dans FortiClient EMS pour leur surface d attaque similaire sur des composants d infrastructure critiques.

Les faits

La vulnérabilité reside dans le mécanisme de transport VM d ActiveMQ Classic. Lorsqu un URI de transport VM fait référence a un broker inexistant, ActiveMQ en cree automatiquement un nouveau et accepte un paramètre lui indiquant de charger une configuration externe. Un attaquant authentifie, ou non authentifie sur les versions 6.x vulnerables a CVE-2024-32114, peut enchainer plusieurs mécanismes pour forcer le broker a recuperer et executer un fichier de configuration Spring XML heberge sur un serveur controle par l attaquant. Ce fichier XML peut contenir des definitions de beans Java arbitraires, permettant l exécution de commandes système avec les privileges du processus ActiveMQ.

La faille existait dans le code depuis 2013, soit treize ans sans detection. Les versions affectees incluent Apache ActiveMQ Classic de la version 5.x jusqu a 5.18.6 et de 6.0.0 a 6.1.5. Les correctifs sont disponibles dans les versions 5.18.7 et 6.1.6. La chaine d exploitation est documentee mais nécessite une configuration spécifique, ce qui limite legerement le risque dans les environnements bien configures. Cependant, l exposition de l API Jolokia sur les deploiements Docker et Kubernetes augmente significativement la surface d attaque.

Impact et exposition

Apache ActiveMQ est utilise par des milliers d organisations pour le traitement de messages en temps reel, l integration d applications et les architectures evenementielles. Une recherche sur les moteurs de scan réseau revele plusieurs milliers d instances ActiveMQ exposees sur Internet, dont une proportion significative execute des versions vulnerables. L impact d une exploitation reussie est critique : exécution de code avec les privileges du processus ActiveMQ, généralement root ou un compte de service a privileges eleves. Les secteurs les plus exposes sont la finance, le e-commerce et les telecoms, ou ActiveMQ sert souvent de backbone pour les transactions en temps reel. Le précédent de 2023 avec la faille CVE-2023-46604, exploitee par le ransomware HelloKitty, montre que ces vulnérabilités sont rapidement weaponisees comme l ont ete les failles vCenter par Akira ransomware.

Recommandations

  • Mettre a jour immédiatement vers Apache ActiveMQ Classic 5.18.7 ou 6.1.6
  • Restreindre l acces a l API Jolokia aux seules adresses IP autorisees via les regles de la Web Console
  • Verifier que l API Jolokia n est pas exposee sans authentification, particulierement sur ActiveMQ 6.x
  • Auditer les instances ActiveMQ exposees sur Internet et les placer derriere un VPN ou un reverse proxy authentifie, en suivant les bonnes pratiques de gestion des correctifs critiques recommandees par la CISA

Alerte critique

Sur les versions ActiveMQ 6.0.0 a 6.1.1, l exploitation est possible sans authentification en combinant CVE-2026-34197 avec CVE-2024-32114. Verifiez immédiatement si vos instances sont concernees et appliquez le correctif en priorite absolue.

L essentiel a retenir

Une faille RCE vieille de 13 ans dans Apache ActiveMQ Classic permet l exécution de code a distance via l API Jolokia. Sur certaines versions 6.x, l exploitation ne nécessite aucune authentification. Mettez a jour vers les versions 5.18.7 ou 6.1.6 et restreignez imperativement l acces a l API Jolokia.

Comment verifier si mon instance ActiveMQ est vulnerable ?

Verifiez votre version d ActiveMQ via la Web Console ou la commande activemq version. Si vous utilisez une version anterieure a 5.18.7 (branche 5.x) ou 6.1.6 (branche 6.x), vous etes vulnerable. Testez également l accessibilite de l endpoint Jolokia : si /api/jolokia repond sans authentification, vous etes expose a la chaine d exploitation complete.

ActiveMQ Artemis est-il aussi concerne par cette vulnérabilité ?

Non. CVE-2026-34197 affecte uniquement Apache ActiveMQ Classic. Apache ActiveMQ Artemis utilise une architecture différente et n est pas impacte par cette faille spécifique. Si vous utilisez Artemis, vous n etes pas concerne par cette vulnérabilité.

Votre infrastructure est-elle exposee ?

Ayi NEDJIMI realise des audits de sécurité cibles pour identifier et corriger vos vulnérabilités avant qu elles ne soient exploitees.

Demander un audit