### Aktive Ausnutzung von CVE-2026-34197 Eine kürzlich bekannt gewordene Sicherheitslücke mit hohem Schweregrad in **Apache ActiveMQ Classic** wird aktiv ausgenutzt, was eine Warnung der **CISA** auslöst. Die Behörde hat die Schwachstelle, die als **CVE-2026-34197** (CVSS-Score: 8,8) verfolgt wird, in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen und verpflichtet Bundesbehörden des zivilen Exekutivzweigs (FCEB), die Korrekturen bis zum 30. April 2026 anzuwenden. Dies unterstreicht die kritische Natur der Schwachstelle. ### Technische Details der Schwachstelle Bei **CVE-2026-34197** handelt es sich um eine fehlerhafte Eingabevalidierung, die zu Code-Injection führt. Laut Naveen Sunkavally von **Horizon3.ai** besteht diese Schwachstelle seit 13 Jahren. Ein Angreifer kann die Jolokia API von **ActiveMQ** nutzen, um den Broker dazu zu bringen, eine Remote-Konfigurationsdatei abzurufen und beliebige Betriebssystembefehle auszuführen. Sunkavally bemerkte: „Ein Angreifer kann über die Jolokia API von ActiveMQ eine Verwaltungsoperation aufrufen, um den Broker dazu zu bringen, eine Remote-Konfigurationsdatei abzurufen und beliebige Betriebssystembefehle auszuführen.“ Die Schwachstelle erfordert Anmeldeinformationen, aber Standardanmeldeinformationen (admin:admin) werden häufig verwendet. Insbesondere erfordern die Versionen 6.0.0–6.1.1 aufgrund von **CVE-2024-32114** keine Authentifizierung, was **CVE-2026-34197** effektiv zu einer nicht authentifizierten RCE macht. ### Betroffene Versionen und Abhilfemaßnahmen Die Schwachstelle betrifft die folgenden Versionen: * Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) vor 5.19.4 * Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 6.0.0 vor 6.2.3 * Apache ActiveMQ (org.apache.activemq:activemq-all) vor 5.19.4 * Apache ActiveMQ (org.apache.activemq:activemq-all) 6.0.0 vor 6.2.3 Benutzern wird dringend empfohlen, auf die Versionen 5.19.4 oder 6.2.3 zu aktualisieren, um das Problem zu beheben. ### Ausnutzung in freier Wildbahn Obwohl spezifische Details zur Ausnutzung von **CVE-2026-34197** begrenzt sind, berichtete **SAFE Security** über aktive Angriffe auf exponierte Jolokia-Management-Endpunkte in **Apache ActiveMQ Classic**-Bereitstellungen. **Fortinet** FortiGuard Labs hat ebenfalls zahlreiche Ausnutzungsversuche aufgedeckt, die am 14. April 2026 ihren Höhepunkt erreichten. Diese Erkenntnisse unterstreichen die schrumpfenden Zeitspannen zwischen der Offenlegung von Schwachstellen und der aktiven Ausnutzung. ### ActiveMQ: Ein häufiges Ziel **Apache ActiveMQ** ist ein häufiges Ziel für Angreifer. Schwachstellen im Open-Source-Nachrichtenbroker werden seit 2021 wiederholt in Malware-Kampagnen ausgenutzt. Im August 2025 wurde **CVE-2023-46604** zur Bereitstellung der DripDropper Linux-Malware eingesetzt. ### Empfehlungen **SAFE Security** empfiehlt, Bereitstellungen auf extern zugängliche Jolokia-Endpunkte zu prüfen, den Zugriff einzuschränken, eine starke Authentifizierung zu erzwingen und Jolokia zu deaktivieren, wo es nicht benötigt wird. Angesichts der Rolle von ActiveMQ in der Unternehmenskommunikation stellen exponierte Management-Schnittstellen ein erhebliches Risiko für Datenexfiltration, Dienstunterbrechungen und laterale Bewegungen dar.