Claude IA détecte une RCE de 13 ans dans Apache ActiveMQ

Ce qui s'est passé

Une vulnérabilité critique d'exécution de code à distance, désormais référencée CVE-2026-34197, vient d'être divulguée dans Apache ActiveMQ Classic après être restée tapie dans le code source pendant treize années. La faille touche le composant Jolokia qui expose une API d'administration : un attaquant en mesure d'envoyer une requête HTTP forgée peut forcer le broker à charger un fichier de configuration Spring XML distant, puis à exécuter des commandes arbitraires lors de l'initialisation. Le bug existe depuis la branche 5.x et concerne toutes les distributions intégrant ActiveMQ Classic, soit des dizaines de milliers de déploiements en production chez les opérateurs de messagerie d'entreprise. La gravité est d'autant plus marquée que l'authentification, normalement requise, peut être contournée dans les versions 6.0.0 à 6.1.1 grâce au bug connexe CVE-2024-32114.

L'élément qui marque les esprits dans ce dossier n'est pas la faille elle-même, mais la façon dont elle a été trouvée. Le chercheur en sécurité a confié l'analyse du code source au modèle Claude d'Anthropic, qui a parcouru les interactions entre les composants ActiveMQ et identifié la chaîne d'exploitation en seulement dix minutes. « Une semaine de travail manuel aurait été nécessaire », résume le chercheur, qui estime la part de Claude à 80 % du résultat final, son propre rôle se limitant à orchestrer l'analyse et à valider les hypothèses. La preuve d'exploitation a été soumise à la fondation Apache, qui a publié les versions 5.19.4 et 6.2.3 corrigeant le défaut.

L'éditorialisation du résultat par les médias spécialisés, dont CSO Online et Infosecurity Magazine, souligne le basculement en cours : pour la première fois, une faille de longue portée dans un projet open source de premier plan est imputée explicitement à un modèle de langage assistant un humain. La fondation Apache, le CERT-FR et le centre belge CCB recommandent un déploiement immédiat des correctifs.

Pourquoi c'est important

L'épisode CVE-2026-34197 prouve que les modèles génératifs avancés sont désormais capables de découvrir, dans des bases de code matures et largement auditées, des vulnérabilités que treize ans de revues humaines et d'analyses statiques n'avaient pas détectées. Pour les éditeurs open source, l'équation change : si Claude ou GPT peuvent dénicher des RCE en quelques minutes, les attaquants disposent déjà de la même puissance pour scruter le code public à la recherche de zero-days. Le rythme de découverte des failles risque de s'accélérer brutalement, plaçant les équipes de patch management sous tension.

Pour les entreprises, l'enjeu est double. Côté offensif, il devient prioritaire d'intégrer des audits IA dans les processus DevSecOps avant que les attaquants ne s'en chargent à leur place. Côté défensif, l'inventaire applicatif doit être tenu à jour : ActiveMQ Classic équipe encore de nombreuses chaînes de messagerie historiques que les RSSI sous-estiment. Cette découverte s'inscrit dans une série récente d'exploitations rapides comme la RCE Marimo exploitée en 10 heures ou l'attaque supply chain Smart Slider 3, qui rappellent que la fenêtre entre divulgation et compromission se réduit drastiquement.

Ce qu'il faut retenir

• Mettre à jour Apache ActiveMQ Classic vers 5.19.4 ou 6.2.3 sans délai, en priorisant les brokers exposés sur Internet.
• Restreindre l'accès à l'API Jolokia derrière un VPN ou un reverse proxy authentifié, indépendamment du patch.
• Anticiper l'audit IA des composants critiques internes avant qu'un attaquant n'utilise la même méthode pour les compromettre.