漏洞描述:
CVE-2026-34197是Apache ActiveMQ 5.19.4版本之前以及6.0.0至6.2.3版本之前存在的一个远程代码执行漏洞。Jolokia JMX-HTTP桥接暴露了ActiveMQ自身MBeans上的操作,其中包括Broker MBean上的addNetworkConnector(String)方法。经过认证的攻击者可以调用该操作,传入一个精心构造的vm://传输URI,其中包含指向攻击者控制的Spring XML配置文件的brokerConfig参数。当ActiveMQ处理该URI时,会获取并解析远程XML配置,从而触发Spring Bean实例化并执行任意代码。
