**Apache ActiveMQ**, un broker de mensajes de código abierto basado en Java ampliamente utilizado, está en el punto de mira debido a la explotación de la **CVE-2026-34197**. Esta vulnerabilidad crítica, que permite la ejecución remota de código, fue parcheada recientemente pero ahora está siendo atacada activamente. ### La Vulnerabilidad Descubierta por el investigador de **Horizon3**, **Naveen Sunkavally**, con la ayuda del asistente de IA Claude, la **CVE-2026-34197** se origina en una validación de entrada inadecuada. Un atacante autenticado puede explotar esta falla para ejecutar código arbitrario a través de ataques de inyección. La vulnerabilidad fue parcheada en las versiones 5.19.4 y 6.2.3 de ActiveMQ Classic el 30 de marzo. Horizon3 ha advertido que ActiveMQ es un objetivo frecuente y los métodos de explotación están bien documentados. Aconsejan encarecidamente a las organizaciones que prioricen el parcheo. ### Exposición Generalizada Según el servicio de monitoreo de amenazas ShadowServer, más de 7.500 servidores de Apache ActiveMQ están actualmente expuestos en línea.  *Servidores de ActiveMQ expuestos en línea (Shadowserver)* ### Directiva de CISA El jueves, CISA añadió la **CVE-2026-34197** a su Catálogo de Vulnerabilidades Conocidas Explotadas (KEV). Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben parchear sus servidores de ActiveMQ antes del 30 de abril, siguiendo la Directiva Operacional Vinculante (BOD) 22-01. ### Detección y Mitigación Horizon3 recomienda analizar los registros del broker de ActiveMQ en busca de conexiones de broker sospechosas utilizando el parámetro de consulta `brokerConfig=xbean:http://` y el protocolo de transporte interno `VM`. CISA aconseja a las organizaciones del sector privado que también prioricen el parcheo de la **CVE-2026-34197**. ### Vulnerabilidades Anteriores CISA ha señalado previamente la **CVE-2023-46604** y la **CVE-2016-3088**, también en Apache ActiveMQ, como explotadas en la naturaleza. La **CVE-2023-46604** fue notablemente atacada por la banda de ransomware **TellYouThePass**.