Una falla de seguridad de alta gravedad recientemente revelada en Apache ActiveMQ Classic ha sido objeto de explotación activa en la naturaleza, según la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).

Para ello, la agencia ha agregado la vulnerabilidad, rastreada como CVE-2026-34197 (Puntuación CVSS: 8,8), a sus vulnerabilidades explotadas conocidas (KEV), que exige que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen las correcciones antes del 30 de abril de 2026.

CVE-2026-34197 se ha descrito como un caso de validación de entrada incorrecta que podría provocar la inyección de código, lo que permitiría efectivamente a un atacante ejecutar código arbitrario en instalaciones susceptibles. Según Naveen Sunkavally de Horizon3.ai, CVE-2026-34197 ha estado «escondido a plena vista» durante 13 años.

«Un atacante puede invocar una operación de administración a través de la API Jolokia de ActiveMQ para engañar al corredor para que obtenga un archivo de configuración remoto y ejecute comandos arbitrarios del sistema operativo», agregó Sunkavally.

«La vulnerabilidad requiere credenciales, pero las credenciales predeterminadas (admin:admin) son comunes en muchos entornos. En algunas versiones (6.0.0–6.1.1), no se requieren credenciales debido a otra vulnerabilidad, CVE-2024-32114, que expone inadvertidamente la API de Jolokia sin autenticación. En esas versiones, CVE-2026-34197 es efectivamente un RCE no autenticado».

la vulnerabilidad impactos las siguientes versiones –

• Agente Apache ActiveMQ (org.apache.activemq:activemq-broker) anterior a 5.19.4
• Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 6.0.0 anterior a 6.2.3
• Apache ActiveMQ (org.apache.activemq:activemq-all) anterior a 5.19.4
• Apache ActiveMQ (org.apache.activemq:activemq-all) 6.0.0 anterior a 6.2.3

Se recomienda a los usuarios que actualicen a la versión 5.19.4 o 6.2.3, que soluciona el problema. Actualmente no hay detalles sobre cómo se está explotando CVE-2026-34197 en la naturaleza, pero SAFE Security, en un informe publicado esta semana, reveló que los actores de amenazas están apuntando activamente a los puntos finales de administración de Jolokia expuestos en implementaciones de Apache ActiveMQ Classic.

Los hallazgos demuestran una vez más que los plazos de explotación continúan colapsando a medida que los atacantes se abalanzan sobre las vulnerabilidades recientemente reveladas a un ritmo alarmantemente más rápido y violan los sistemas antes de que puedan ser parcheados.

Apache ActiveMQ es un objetivo popular de ataque, con fallas en el intermediario de mensajes de código abierto explotadas repetidamente en varias campañas de malware desde 2021. En agosto de 2025, actores desconocidos utilizaron como arma una vulnerabilidad crítica en ActiveMQ (CVE-2023-46604, puntuación CVSS: 10.0) para lanzar un malware de Linux llamado DripDropper.

«Dado el papel de ActiveMQ en la mensajería empresarial y los canales de datos, las interfaces de gestión expuestas presentan un riesgo de alto impacto, lo que potencialmente permite la filtración de datos, la interrupción del servicio o el movimiento lateral», SAFE Security dicho. «Las organizaciones deben auditar todas las implementaciones para los puntos finales de Jolokia accesibles externamente, restringir el acceso a redes confiables, imponer una autenticación sólida y desactivar Jolokia cuando no sea necesario».