## Descubrimiento de la Vulnerabilidad La vulnerabilidad fue descubierta utilizando el asistente de IA **Claude**, que identificó una posible ruta de exploit al analizar la interacción entre componentes desarrollados de forma independiente dentro de **Apache ActiveMQ Classic**. Esto resalta el creciente papel de la IA en la investigación de vulnerabilidades. ## Detalles Técnicos de CVE-2026-34197 Rastreable como **CVE-2026-34197**, el problema de seguridad ha recibido una puntuación de alta severidad de 8.8. Afecta a las versiones de **Apache ActiveMQ/Broker** anteriores a la 5.19.4, y a todas las versiones desde la 6.0.0 hasta la 6.2.3. **Apache ActiveMQ** es un message broker de código abierto escrito en Java que facilita la comunicación asíncrona a través de colas de mensajes o temas. Si bien existe una rama más nueva llamada 'Artemis', la edición 'Classic', afectada por **CVE-2026-34197**, todavía se utiliza ampliamente en entornos empresariales, backends web y sistemas gubernamentales construidos sobre Java. ## El Papel de la IA en el Descubrimiento de la Falla El investigador de **Horizon3**, Naveen Sunkavally, descubrió el problema utilizando **Claude** con indicaciones básicas. Según Sunkavally, **Claude** identificó la vulnerabilidad al examinar múltiples componentes individuales, incluyendo **Jolokia**, **JMX**, conectores de red y transportes de VM. "Cada característica de forma aislada hace lo que se supone que debe hacer, pero juntas eran peligrosas. Aquí es exactamente donde Claude brilló: uniendo eficientemente este camino de principio a fin con una mente clara y libre de suposiciones." ## Disponibilidad de Parche La vulnerabilidad fue reportada a los mantenedores de **Apache** el 22 de marzo, y se lanzó un parche el 30 de marzo en las versiones 6.2.3 y 5.19.4 de **ActiveMQ Classic**. ## Mecanismo de Exploit Un informe de **Horizon3** explica que la vulnerabilidad se deriva de la API de gestión **Jolokia** de **ActiveMQ**, que expone una función del broker (`addNetworkConnector`) que puede ser abusada para cargar configuraciones externas. Un atacante puede enviar una solicitud especialmente elaborada para forzar al broker a obtener un archivo Spring XML remoto y ejecutar comandos arbitrarios del sistema durante su inicialización. El problema requiere autenticación a través de **Jolokia**, pero se vuelve no autenticado en las versiones 6.0.0 a 6.1.1 debido a un error separado, **CVE-2024-32114**, que expone la API sin control de acceso.  ## Recomendación Los investigadores de **Horizon3** enfatizan el riesgo que representa esta falla, citando vulnerabilidades anteriores de **ActiveMQ** explotadas en ataques del mundo real. “Recomendamos que las organizaciones que ejecutan ActiveMQ traten esto como una alta prioridad, ya que ActiveMQ ha sido un objetivo recurrente para atacantes del mundo real, y los métodos de explotación y post-explotación de ActiveMQ son bien conocidos”, afirma **Horizon3**. También señalaron que **CVE-2016-3088** y **CVE-2023-46604** están en la lista KEV de CISA. Aunque **CVE-2026-34197** no se reporta como explotado activamente, se pueden encontrar signos de explotación en los registros del broker de **ActiveMQ**. Recomiendan buscar conexiones de broker sospechosas que utilicen el protocolo de transporte interno VM y el parámetro de consulta `brokerConfig=xbean:http://`. La ejecución de comandos ocurre durante múltiples intentos de conexión, y un mensaje de advertencia sobre un problema de configuración indica la ejecución exitosa del payload.