## Découverte de la vulnérabilité La vulnérabilité a été découverte à l'aide de l'assistant IA **Claude**, qui a identifié un chemin d'exploit potentiel en analysant l'interaction entre des composants développés indépendamment au sein d'**Apache ActiveMQ Classic**. Cela souligne le rôle croissant de l'IA dans la recherche de vulnérabilités. ## Détails techniques de CVE-2026-34197 Suivi sous la référence **CVE-2026-34197**, le problème de sécurité s'est vu attribuer un score de sévérité élevé de 8.8. Il affecte les versions d'**Apache ActiveMQ/Broker** antérieures à 5.19.4, ainsi que toutes les versions de 6.0.0 à 6.2.3. **Apache ActiveMQ** est un broker de messages open-source écrit en Java qui facilite la communication asynchrone via des files d'attente ou des sujets de messages. Bien qu'une branche plus récente, 'Artemis', existe, l'édition 'Classic', impactée par **CVE-2026-34197**, est toujours largement utilisée dans les environnements d'entreprise, les backends web et les systèmes gouvernementaux basés sur Java. ## Le rôle de l'IA dans la découverte de la faille Naveen Sunkavally, chercheur chez **Horizon3**, a découvert le problème en utilisant **Claude** avec des requêtes basiques. Selon Sunkavally, **Claude** a identifié la vulnérabilité en examinant plusieurs composants individuels, notamment **Jolokia**, **JMX**, les connecteurs réseau et les transports VM. "Chaque fonctionnalité isolément fait ce qu'elle est censée faire, mais elles étaient dangereuses ensemble. C'est précisément là que Claude a excellé – en assemblant efficacement ce chemin de bout en bout avec une tête claire, sans idées préconçues." ## Disponibilité d'un correctif La vulnérabilité a été signalée aux mainteneurs d'**Apache** le 22 mars, et un correctif a été publié le 30 mars dans les versions 6.2.3 et 5.19.4 d'**ActiveMQ Classic**. ## Mécanisme d'exploitation Un rapport de **Horizon3** explique que la vulnérabilité découle de l'API de gestion **Jolokia** d'**ActiveMQ** qui expose une fonction du broker (`addNetworkConnector`) pouvant être détournée pour charger des configurations externes. Un attaquant peut envoyer une requête spécialement conçue pour forcer le broker à récupérer un fichier Spring XML distant et à exécuter des commandes système arbitraires lors de son initialisation. Le problème nécessite une authentification via **Jolokia**, mais devient non authentifié sur les versions 6.0.0 à 6.1.1 en raison d'un bug distinct, **CVE-2024-32114**, qui expose l'API sans contrôle d'accès.  ## Recommandation Les chercheurs de **Horizon3** soulignent le risque posé par cette faille, citant des vulnérabilités précédentes d'**ActiveMQ** exploitées dans des attaques réelles. « Nous recommandons aux organisations utilisant ActiveMQ de traiter ceci comme une priorité élevée, car ActiveMQ a été une cible répétée pour les attaquants réels, et les méthodes d'exploitation et de post-exploitation d'ActiveMQ sont bien connues », déclare **Horizon3**. Ils ont également noté que **CVE-2016-3088** et **CVE-2023-46604** figurent sur la liste KEV de la CISA. Bien que **CVE-2026-34197** ne soit pas signalé comme étant activement exploité, des signes d'exploitation peuvent être trouvés dans les journaux du broker **ActiveMQ**. Ils recommandent de rechercher des connexions suspectes du broker utilisant le protocole de transport interne VM et le paramètre de requête `brokerConfig=xbean:http://`. L'exécution de commandes se produit lors de plusieurs tentatives de connexion, et un message d'avertissement concernant un problème de configuration indique une exécution réussie du payload.