En bref

  • CVE-2026-34197 (CVSS 8.8) : une faille RCE dans Apache ActiveMQ Classic dormait depuis 13 ans
  • Exploitation possible via l API Jolokia, potentiellement sans authentification sur ActiveMQ 6.x
  • Mettre a jour immediatement vers ActiveMQ Classic 6.1.6+ ou 5.18.7+ et restreindre l acces a l API Jolokia

Une vulnerabilite critique d execution de code a distance dans Apache ActiveMQ Classic vient d etre revelee apres etre restee indetectee pendant treize ans dans le code source du broker de messages open source le plus utilise au monde. Referencee CVE-2026-34197 avec un score CVSS de 8.8, cette faille permet a un attaquant d invoquer des operations de gestion via l API Jolokia pour forcer le broker a recuperer un fichier de configuration distant contenant des definitions Spring XML malveillantes, aboutissant a l execution de commandes arbitraires sur le systeme sous-jacent. La gravite de la situation est amplifiee par le fait qu une seconde vulnerabilite, CVE-2024-32114, expose l API Jolokia sans authentification sur les versions ActiveMQ 6.0.0 a 6.1.1, rendant l exploitation possible sans aucun identifiant. Avec des milliers d instances ActiveMQ exposees sur Internet, cette decouverte represente une menace serieuse pour les architectures de messagerie d entreprise, comparable en gravite aux recents zero-days exploites dans FortiClient EMS pour leur surface d attaque similaire sur des composants d infrastructure critiques.

Les faits

La vulnerabilite reside dans le mecanisme de transport VM d ActiveMQ Classic. Lorsqu un URI de transport VM fait reference a un broker inexistant, ActiveMQ en cree automatiquement un nouveau et accepte un parametre lui indiquant de charger une configuration externe. Un attaquant authentifie, ou non authentifie sur les versions 6.x vulnerables a CVE-2024-32114, peut enchainer plusieurs mecanismes pour forcer le broker a recuperer et executer un fichier de configuration Spring XML heberge sur un serveur controle par l attaquant. Ce fichier XML peut contenir des definitions de beans Java arbitraires, permettant l execution de commandes systeme avec les privileges du processus ActiveMQ.

La faille existait dans le code depuis 2013, soit treize ans sans detection. Les versions affectees incluent Apache ActiveMQ Classic de la version 5.x jusqu a 5.18.6 et de 6.0.0 a 6.1.5. Les correctifs sont disponibles dans les versions 5.18.7 et 6.1.6. La chaine d exploitation est documentee mais necessite une configuration specifique, ce qui limite legerement le risque dans les environnements bien configures. Cependant, l exposition de l API Jolokia sur les deploiements Docker et Kubernetes augmente significativement la surface d attaque.

Impact et exposition

Apache ActiveMQ est utilise par des milliers d organisations pour le traitement de messages en temps reel, l integration d applications et les architectures evenementielles. Une recherche sur les moteurs de scan reseau revele plusieurs milliers d instances ActiveMQ exposees sur Internet, dont une proportion significative execute des versions vulnerables. L impact d une exploitation reussie est critique : execution de code avec les privileges du processus ActiveMQ, generalement root ou un compte de service a privileges eleves. Les secteurs les plus exposes sont la finance, le e-commerce et les telecoms, ou ActiveMQ sert souvent de backbone pour les transactions en temps reel. Le precedent de 2023 avec la faille CVE-2023-46604, exploitee par le ransomware HelloKitty, montre que ces vulnerabilites sont rapidement weaponisees comme l ont ete les failles vCenter par Akira ransomware.

Recommandations

  • Mettre a jour immediatement vers Apache ActiveMQ Classic 5.18.7 ou 6.1.6
  • Restreindre l acces a l API Jolokia aux seules adresses IP autorisees via les regles de la Web Console
  • Verifier que l API Jolokia n est pas exposee sans authentification, particulierement sur ActiveMQ 6.x
  • Auditer les instances ActiveMQ exposees sur Internet et les placer derriere un VPN ou un reverse proxy authentifie, en suivant les bonnes pratiques de gestion des correctifs critiques recommandees par la CISA

Alerte critique

Sur les versions ActiveMQ 6.0.0 a 6.1.1, l exploitation est possible sans authentification en combinant CVE-2026-34197 avec CVE-2024-32114. Verifiez immediatement si vos instances sont concernees et appliquez le correctif en priorite absolue.

L essentiel a retenir

Une faille RCE vieille de 13 ans dans Apache ActiveMQ Classic permet l execution de code a distance via l API Jolokia. Sur certaines versions 6.x, l exploitation ne necessite aucune authentification. Mettez a jour vers les versions 5.18.7 ou 6.1.6 et restreignez imperativement l acces a l API Jolokia.

Comment verifier si mon instance ActiveMQ est vulnerable ?

Verifiez votre version d ActiveMQ via la Web Console ou la commande activemq version. Si vous utilisez une version anterieure a 5.18.7 (branche 5.x) ou 6.1.6 (branche 6.x), vous etes vulnerable. Testez egalement l accessibilite de l endpoint Jolokia : si /api/jolokia repond sans authentification, vous etes expose a la chaine d exploitation complete.

ActiveMQ Artemis est-il aussi concerne par cette vulnerabilite ?

Non. CVE-2026-34197 affecte uniquement Apache ActiveMQ Classic. Apache ActiveMQ Artemis utilise une architecture differente et n est pas impacte par cette faille specifique. Si vous utilisez Artemis, vous n etes pas concerne par cette vulnerabilite.

Votre infrastructure est-elle exposee ?

Ayi NEDJIMI realise des audits de securite cibles pour identifier et corriger vos vulnerabilites avant qu elles ne soient exploitees.

Demander un audit