セキュリティ研究者がApache ActiveMQ Classicのリモートコード実行(RCE)脆弱性を発見しました。この脆弱性は13年間検出されておらず、任意のコマンド実行に悪用される可能性があります。
この欠陥はClaude AIアシスタントを使用して発見されました。独立して開発されたコンポーネント間の相互作用を分析することでエクスプロイトパスを特定しました。
CVE-2026-34197として追跡されており、このセキュリティ問題は深刻度スコア8.8を受け、5.19.4より前のApache ActiveMQ/Brokerのバージョンおよび6.0.0から6.2.3までのすべてのバージョンに影響します。
これが10年以上検出されなかった理由でもあります。
Apache ActiveMQはJavaで書かれたオープンソースのメッセージブローカーで、メッセージキューまたはトピック経由の非同期通信を処理します。
ActiveMQはパフォーマンスが向上した新しい「Artemis」ブランチをリリースしていますが、CVE-2026-34197の影響を受ける「Classic」エディションは、エンタープライズ、Webバックエンド、政府、およびJavaで構築された企業システムで広く展開されています。
Horizon3の研究者Naveen Sunkavallyはクロードで「いくつかの基本的なプロンプトだけで」この問題を見つけました。「これは80%Claudeで20%人間によるラッピング」と彼は述べました。
Sunkavallyはクロードが複数の個別コンポーネント(Jolokia、JMX、ネットワークコネクタ、VMトランスポート)を調べた後、この問題を指摘したことに注目しています。
「各機能は単独では期待通りに動作しますが、組み合わせると危険でした。これはまさにClaudeが輝いた場面です。仮定のない明確な判断で、このパスを端から端まで効率的につなぎ合わせました。」
研究者は3月22日にこの脆弱性をApacheのメンテナに報告し、開発者はActiveMyQ Classicバージョン6.2.3および5.19.4で3月30日にこれに対処しました。
Horizon3からのレポートによると、この欠陥はActiveMyQのJolokia管理APIが外部設定のロードに悪用される可能性のあるブローカー関数(addNetworkConnector)を公開していることに由来します。
特別に細工されたリクエストを送信することで、攻撃者はブローカーにリモートSpring XMLファイルを取得させ、初期化中に任意のシステムコマンドを実行させることができます。
この問題はJolokia経由の認証が必要ですが、別のバグCVE-2024-32114により、6.0.0から6.1.1のバージョンではアクセス制御なしでAPIが公開され、認証が不要になります。
Horizon3の研究者は新しく開示された欠陥がもたらすリスクを強調し、ハッカーが実際の攻撃で標的にしている他のActiveMyQ CVEを引用しました。
「ActiveMyQを実行している組織がこれを高い優先事項として扱うことをお勧めします。ActiveMyQは実際の攻撃者の繰り返されたターゲットであり、ActiveMyQの悪用および悪用後の方法はよく知られているため」とHorizon3は述べています。
「CVE-2016-3088(Webコンソールに影響する認証済みRCE)とCVE-2023-46604(ブローカーポートに影響する認証なしRCE)の両方がCISAのKEVリストにあります。」
CVE-2026-34197は積極的に悪用されていると報告されていませんが、研究者はActiveMyQブローカーログに悪用の兆候が明らかであると述べています。内部トランスポートプロトコルVMとbrokerConfig=xbean:http://クエリパラメータを使用する疑わしいブローカー接続を探すことをお勧めします。
コマンド実行は複数の接続試行中に発生します。設定問題に関する警告メッセージが表示された場合、ペイロードはすでに実行されていると研究者は述べています。
