
ActiveMQ是Apache出品的一款开源消息中间件,完全支持JMS 1.1和J2EE 1.4规范,能为分布式系统提供高效、稳定、安全的企业级消息通信服务。
它支持Java、C、Python等多语言客户端,兼容OpenWire、Stomp、AMQP等多种协议,还具备消息持久化、优先级设置、延迟接收、主从管理等丰富特性,可轻松嵌入Spring应用,适配TomEE、JBoss等多种J2EE服务器。
其核心包含Broker(消息代理服务器)、Producer(消息生产者)、Consumer(消息消费者)等组件,支持点对点(Queue)和发布订阅(Topic)两种消息传递模型,前者确保每条消息仅被一个消费者接收,后者可实现消息向所有订阅者广播,能有效帮助系统实现解耦、异步通信与流量削峰。
默认端口:8161
默认账号、密码:admin:admin
CVE-2026-42588是一个输入验证不当和代码生成控制不当的组合漏洞。Apache ActiveMQ Classic的默认Jolokia访问策略允许对所有ActiveMQ MBean(org.apache.activemq:*)执行操作,包括 BrokerService.addNetworkConnector(String) 方法。
攻击者可以通过构造恶意的发现 URI(discovery URI),利用"masterslave://"URL触发VM传输的brokerConfig参数,进而使用 ResourceXmlApplicationContext加载Spring XML应用上下文。
由于Spring的ResourceXmlApplicationContext会在BrokerService验证配置之前实例化所有单例bean,攻击者可以通过bean工厂方法(如 Runtime.exec())在broker的JVM上执行任意代码。
利用条件:
1、有ActiveMQ Web控制台的有效账号(低权限即可)
2、/api/jolokia/端点访问
CVE-2026-42588
Apache ActiveMQ Broker (org.apache.activemq:activemq-broker):5.19.7 之前版本
Apache ActiveMQ Broker (org.apache.activemq:activemq-broker):6.0.0 至 6.2.5 版本
Apache ActiveMQ All (org.apache.activemq:activemq-all):5.19.7 之前版本
Apache ActiveMQ All (org.apache.activemq:activemq-all):6.0.0 至 6.2.5 版本
Apache ActiveMQ (org.apache.activemq:apache-activemq):5.19.7 之前版本
Apache ActiveMQ (org.apache.activemq:apache-activemq):6.0.0 至 6.2.5 版本POC:
https://github.com/hnytgl/CVE-2026-42588

https://lists.apache.org/thread/ns0zktfo16s9ql2mmtqtlb6p6xcs45xm
https://activemq.apache.org/security-advisories.data/CVE-2022-41678-announcement.txt
推荐阅读:
Ps:国内外安全热点分享,欢迎大家分享、转载,请保证文章的完整性。文章中出现敏感信息和侵权内容,请联系作者删除信息。信息安全任重道远,感谢您的支持!!!
本公众号的文章及工具仅提供学习参考,由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害,均由使用者本人负责,本公众号及文章作者不为此承担任何责任。