首页 CVE-2026-34197 神龙十问摘要 — 神龙十问 AI 深度分析摘要 更新于 2026-05-06
本页是神龙十问 AI 深度分析的
摘要版 。完整版(更长回答、追问、相关漏洞)需
登录查看 → Q1 这个漏洞是什么?(本质+后果) 🚨 **本质**:Apache ActiveMQ 的 Jolokia JMX-HTTP 桥存在**输入验证不当**。 💥 **后果**:攻击者可利用此缺陷触发**远程代码执行 (RCE)**,直接控制服务器 JVM。
Q2 根本原因?(CWE/缺陷点) 🔍 **CWE**:CWE-20 (Improper Input Validation)。 🛠️ **缺陷点**:Jolokia 默认策略允许执行高危 MBean 操作,且 Spring 容器在 Broker 验证配置前实例化 Bean,导致恶意 XML 配置被提前加载执行。
Q3 影响谁?(版本/组件) 📦 **受影响组件**:Apache ActiveMQ Broker。 📅 **危险版本**: - **5.x 系列**:5.19.4 之前版本 - **6.x 系列**:6.0.0 至 6.2.3 之前版本
Q4 黑客能干啥?(权限/数据) 🕵️ **黑客能力**: - **最高权限**:在 Broker JVM 上执行任意代码。 - **数据风险**:完全控制消息中间件,可窃取、篡改或伪造消息数据。 - **持久化**:通过 `Runtime.exec()` 执行系统命令。
Q5 利用门槛高吗?(认证/配置) 🔑 **利用门槛**:**中等**。 - 需要**认证**(Authenticated Attacker)。 - 需访问 `/api/jolokia/` 端点。 - 利用精心构造的 discovery URI 触发 VM transport 的 `brokerConfig` 参数加载远程 Spring XML 上下文。
Q6 有现成Exp吗?(PoC/在野利用) 💻 **现成 Exp**:**有**。 - **Nuclei 模板**:ProjectDiscovery 已提供自动化扫描模板。 - **Vulhub 复现**:Vulhub 提供 Docker 环境用于本地测试。 - **POC 仓库**:Threekiii/Awesome-POC 收录了详细利用说明。
Q7 怎么自查?(特征/扫描) 🔎 **自查方法**: 1. 检查 ActiveMQ 版本是否在上述危险区间。 2. 扫描 Web 控制台是否存在 `/api/jolokia/` 路径。 3. 使用 Nuclei 模板 `CVE-2026-34197.yaml` 进行自动化检测。 4. 确认 Jolokia 访问策略是否默认允许 `exec` 操作。
Q8 官方修了吗?(补丁/缓解) 🛡️ **官方修复**:**已修复**。 - **推荐升级版本**:**5.19.5** 或 **6.2.3**。 - 官方已发布安全公告,建议立即升级以修复输入验证逻辑。
Q9 没补丁咋办?(临时规避) ⚠️ **临时规避**: - 若无法立即升级,应**禁用** Jolokia 的 `exec` 操作权限。 - 限制对 `/api/jolokia/` 端点的网络访问,仅允许可信 IP。 - 严格审查 MBean 访问策略,禁止对 `BrokerService` 高危方法(如 `addNetworkConnector`)的远程调用。
Q10 急不急?(优先级建议) 🔥 **优先级**:**极高 (Critical)**。 - 涉及**远程代码执行**,危害极大。 - 已有公开 PoC 和自动化扫描工具,被利用风险高。 - 建议**立即**评估版本并制定升级计划。