Apache ActiveMQ CVE-2026-34197 CISA KEV: 13 Yıldır Gizlenmiş Jolokia API Kod Enjeksiyonu — İstismar 14 Nisan'da Zirveye Ulaştı
📅 14–17 Nisan 2026 · 📰 The Hacker News / Qualys / Horizon3.ai / FortiGuard Labs · TLP:WHITE
8.8
CVSS
CVE-2026-34197 (CVSS 8.8) — Apache ActiveMQ Classic'te Jolokia JMX-HTTP bridge üzerinden uzak yapılandırma dosyası çekme ve OS komutu çalıştırma. Horizon3.ai araştırmacısı Naveen Sunkavally'nin ifadesiyle: "13 yıldır gizlenmişti."
Saldırı mekanizması: Saldırgan, ActiveMQ'nun /api/jolokia/ endpoint'i üzerinden bir yönetim operasyonu çağırıyor → broker uzak bir sunucudan yapılandırma dosyası çekiyor → içindeki keyfi OS komutları çalıştırılıyor. Kimlik doğrulama gerekiyor ancak varsayılan admin:admin credential'ları yaygın kullanımda.
FortiGuard Labs, istismar girişimlerinin 14 Nisan'da zirveye ulaştığını telemetri verileriyle doğruladı. CISA, aynı gün KEV'e ekledi; son tarih: 30 Nisan 2026.
Finansal sektör riski: ActiveMQ, bankalarda mesaj kuyruğu altyapısı olarak sıklıkla kullanılıyor (ödeme sistemleri, işlem bildirimleri). Jolokia endpoint'i çoğu varsayılan kurulumda internet'e açık bırakılıyor.
Güvenli sürümler: 5.19.4 veya 6.2.3.
▸ ÖNERİLEN AKSİYONLAR
→ActiveMQ'yu 5.19.4 veya 6.2.3'e yükseltin
→/api/jolokia/ endpoint'ini güvenilir IP'lerle kısıtlayın veya devre dışı bırakın