### Explotación activa de CVE-2026-34197 Una falla de seguridad de alta gravedad en **Apache ActiveMQ Classic**, revelada recientemente, está bajo explotación activa, lo que ha provocado una advertencia de **CISA**. La agencia ha añadido la vulnerabilidad, identificada como **CVE-2026-34197** (puntuación CVSS: 8.8), a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), obligando a las agencias del Poder Ejecutivo Civil Federal (FCEB) a aplicar correcciones antes del 30 de abril de 2026. Esto subraya la naturaleza crítica de la falla. ### Detalles técnicos de la vulnerabilidad **CVE-2026-34197** implica una validación de entrada inadecuada que conduce a la inyección de código. Según Naveen Sunkavally de **Horizon3.ai**, esta vulnerabilidad ha existido durante 13 años. Un atacante puede aprovechar la API Jolokia de **ActiveMQ** para engañar al broker y que este obtenga un archivo de configuración remoto y ejecute comandos arbitrarios del sistema operativo. Sunkavally señaló: "Un atacante puede invocar una operación de gestión a través de la API Jolokia de ActiveMQ para engañar al broker y que este obtenga un archivo de configuración remoto y ejecute comandos arbitrarios del sistema operativo." La vulnerabilidad requiere credenciales, pero a menudo se utilizan credenciales predeterminadas (admin:admin). Notablemente, las versiones 6.0.0–6.1.1 no requieren autenticación debido a **CVE-2024-32114**, lo que convierte efectivamente a **CVE-2026-34197** en una RCE no autenticada. ### Versiones afectadas y mitigación La vulnerabilidad afecta a las siguientes versiones: * Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) antes de 5.19.4 * Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 6.0.0 antes de 6.2.3 * Apache ActiveMQ (org.apache.activemq:activemq-all) antes de 5.19.4 * Apache ActiveMQ (org.apache.activemq:activemq-all) 6.0.0 antes de 6.2.3 Se recomienda encarecidamente a los usuarios que actualicen a las versiones 5.19.4 o 6.2.3 para abordar el problema. ### Explotación en la naturaleza Aunque los detalles específicos sobre la explotación de **CVE-2026-34197** son limitados, **SAFE Security** informó sobre la focalización activa de endpoints de gestión Jolokia expuestos en implementaciones de **Apache ActiveMQ Classic**. **Fortinet** FortiGuard Labs también ha descubierto numerosos intentos de explotación, que alcanzaron su punto máximo el 14 de abril de 2026. Estos hallazgos resaltan el colapso de los plazos entre la divulgación de vulnerabilidades y la explotación activa. ### ActiveMQ: Un objetivo frecuente **Apache ActiveMQ** ha sido un objetivo frecuente para los atacantes. Las fallas en el broker de mensajes de código abierto se han explotado repetidamente en campañas de malware desde 2021. En agosto de 2025, **CVE-2023-46604** fue utilizado para desplegar el malware DripDropper para Linux. ### Recomendaciones **SAFE Security** recomienda auditar las implementaciones en busca de endpoints Jolokia accesibles externamente, restringir el acceso, aplicar autenticación sólida y deshabilitar Jolokia donde no sea necesario. Dado el papel de ActiveMQ en la mensajería empresarial, las interfaces de gestión expuestas representan un riesgo significativo de exfiltración de datos, interrupción del servicio y movimiento lateral.