La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha informado que una vulnerabilidad de alta gravedad en Apache ActiveMQ Classic está siendo explotada activamente en entornos reales. La agencia ha incorporado la falla, identificada como CVE-2026-34197 y con una puntuación CVSS de 8.8, a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Esto obliga a las agencias del Poder Ejecutivo Civil Federal (FCEB) a aplicar las correcciones antes del 30 de abril de 2026.
CVE-2026-34197 se describe como un caso de validación de entrada incorrecta que puede provocar inyección de código, permitiendo a un atacante ejecutar código arbitrario en instalaciones vulnerables. Según Naveen Sunkavally de Horizon3.ai, esta vulnerabilidad ha estado "oculta a plena vista" durante 13 años.
Un atacante puede invocar una operación de administración a través de la API Jolokia de ActiveMQ para engañar al broker y hacer que obtenga un archivo de configuración remoto y ejecute comandos arbitrarios del sistema operativo. La vulnerabilidad requiere credenciales, pero las credenciales predeterminadas (admin:admin) son comunes en muchos entornos. En algunas versiones (6.0.0–6.1.1), no se requieren credenciales debido a otra vulnerabilidad, CVE-2024-32114, que expone involuntariamente la API Jolokia sin autenticación. En esas versiones, CVE-2026-34197 es efectivamente una RCE sin autenticación.
Las versiones afectadas incluyen: Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) anteriores a 5.19.4; versiones 6.0.0 anteriores a 6.2.3; y Apache ActiveMQ (org.apache.activemq:activemq-all) anteriores a 5.19.4 y versiones 6.0.0 anteriores a 6.2.3. Se recomienda actualizar a las versiones 5.19.4 o 6.2.3, que solucionan el problema.
Aunque no hay detalles específicos sobre cómo se está explotando CVE-2026-34197, SAFE Security reveló en un informe reciente que actores de amenazas están atacando activamente endpoints de administración Jolokia expuestos en implementaciones de Apache ActiveMQ Classic. Datos de telemetría de Fortinet FortiGuard Labs han detectado docenas de intentos de explotación en los últimos días, con un pico de actividad el 14 de abril de 2026.
Estos hallazgos demuestran que los plazos de explotación se están acortando, ya que los atacantes aprovechan las vulnerabilidades recién divulgadas a un ritmo alarmantemente rápido y comprometen sistemas antes de que puedan ser parcheados. Apache ActiveMQ es un objetivo popular; desde 2021, sus fallas han sido explotadas en múltiples campañas de malware. En agosto de 2025, una vulnerabilidad crítica (CVE-2023-46604, CVSS 10.0) fue utilizada para distribuir un malware Linux llamado DripDropper.
Dado el rol de ActiveMQ en la mensajería empresarial y los pipelines de datos, las interfaces de administración expuestas presentan un riesgo de alto impacto, permitiendo potencialmente la exfiltración de datos, la interrupción del servicio o el movimiento lateral. Las organizaciones deben auditar todas las implementaciones en busca de endpoints Jolokia accesibles externamente, restringir el acceso a redes de confianza, aplicar autenticación sólida y deshabilitar Jolokia donde no sea necesario.
