01 漏洞详情

影响组件

Apache ActiveMQ 是一个开源的 Java 消息代理（Message Broker），它作为中间件用于在分布式系统中解耦服务和管理消息队列。

漏洞描述

近日，奇安信CERT监测到官方修复Apache ActiveMQ 远程代码执行漏洞(CVE-2026-40466)，该漏洞是 CVE-2026-34197 安全修复的绕过。当 activemq-http 模块在类路径中时，已认证的攻击者可通过 Jolokia API 添加使用 HTTP Discovery 传输的恶意连接器，由攻击者控制的 HTTP 端点返回 VM 传输 URI 以绕过验证，进而利用 Spring 的 ResourceXmlApplicationContext 加载远程恶意 XML 配置，在目标 JVM 上执行任意代码。目前该漏洞PoC和技术细节已公开。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

利用条件

需要低权限。

02 影响范围

影响版本

Apache ActiveMQ Broker (activemq-broker) < 5.19.6

6.0.0 <= Apache ActiveMQ Broker (activemq-broker) < 6.2.5

Apache ActiveMQ All(activemq-all) < 5.19.6

6.0.0 <= Apache ActiveMQ All(activemq-all) < 6.2.5

Apache ActiveMQ(apache-activemq) < 5.19.6

6.0.0 <= Apache ActiveMQ(apache-activemq) < 6.2.5

其他受影响组件

无

03 复现情况

目前，奇安信威胁情报中心安全研究员已成功复现Apache ActiveMQ 远程代码执行漏洞(CVE-2026-40466)，截图如下：

04 受影响资产情况

奇安信鹰图资产测绘平台数据显示，Apache ActiveMQ 远程代码执行漏洞(CVE-2026-40466)关联的国内风险资产总数为5608个，关联IP总数为2532个。国内风险资产分布情况如下：

05 处置建议

安全更新

目前官方已有可更新版本，建议受影响用户升级至最新版本：

Apache ActiveMQ >=5.19.6

Apache ActiveMQ >= 6.2.5

下载地址：

https://activemq.apache.org/download.html

06 参考资料

[1]https://www.openwall.com/lists/oss-security/2026/04/23/4