**Apache ActiveMQ**, ein weit verbreiteter Open-Source-Java-basierter Message Broker, steht aufgrund der Ausnutzung von **CVE-2026-34197** im Fokus. Diese kritische Schwachstelle, die eine Remote Code Execution ermöglicht, wurde kürzlich gepatcht, wird aber nun aktiv in Angriffen ins Visier genommen. ### Die Schwachstelle Entdeckt von **Horizon3**-Forscher **Naveen Sunkavally** mithilfe des Claude AI-Assistenten, resultiert **CVE-2026-34197** aus einer fehlerhaften Eingabevalidierung. Ein authentifizierter Angreifer kann diese Lücke ausnutzen, um über Injection-Angriffe beliebigen Code auszuführen. Die Schwachstelle wurde in ActiveMQ Classic Versionen 5.19.4 und 6.2.3 am 30. März behoben. Hornizon3 hat gewarnt, dass ActiveMQ ein häufiges Ziel ist und die Ausnutzungsmethoden gut dokumentiert sind. Sie raten Organisationen dringend, das Patchen zu priorisieren. ### Weitreichende Exposition Laut dem Bedrohungsüberwachungsdienst ShadowServer sind derzeit über 7.500 Apache ActiveMQ-Server online exponiert.  *Online exponierte ActiveMQ-Server (Shadowserver)* ### CISA's Anweisung Am Donnerstag fügte die CISA **CVE-2026-34197** ihrem Katalog bekannter ausgenutzter Schwachstellen (KEV) hinzu. Bundesbehörden der zivilen Exekutive (FCEB) sind verpflichtet, ihre ActiveMQ-Server bis zum 30. April gemäß der Binding Operational Directive (BOD) 22-01 zu patchen. ### Erkennung und Abhilfe Hornizon3 empfiehlt die Analyse von ActiveMQ Broker-Logs auf verdächtige Broker-Verbindungen unter Verwendung des Query-Parameters `brokerConfig=xbean:http://` und des internen Transportprotokolls `VM`. Die CISA rät auch privaten Organisationen, das Patchen von **CVE-2026-34197** zu priorisieren. ### Frühere Schwachstellen Die CISA hat zuvor **CVE-2023-4604** und **CVE-2016-3088**, ebenfalls in Apache ActiveMQ, als in freier Wildbahn ausgenutzt gekennzeichnet. **CVE-2023-4604** wurde insbesondere von der **TellYouThePass** Ransomware-Gruppe ins Visier genommen.