## Descoberta da Vulnerabilidade A vulnerabilidade foi descoberta usando o assistente de IA **Claude**, que identificou um caminho de exploit potencial ao analisar a interação entre componentes desenvolvidos independentemente dentro do **Apache ActiveMQ Classic**. Isso destaca o papel crescente da IA na pesquisa de vulnerabilidades. ## Detalhes Técnicos da CVE-2026-34197 Rastreada como **CVE-2026-34197**, a questão de segurança recebeu uma pontuação de severidade alta de 8.8. Ela afeta as versões do **Apache ActiveMQ/Broker** anteriores à 5.19.4 e todas as versões de 6.0.0 até 6.2.3. O **Apache ActiveMQ** é um message broker de código aberto escrito em Java que facilita a comunicação assíncrona através de filas de mensagens ou tópicos. Embora exista um ramo mais novo 'Artemis', a edição 'Classic', impactada pela **CVE-2026-34197**, ainda é amplamente utilizada em ambientes corporativos, backends web e sistemas governamentais construídos em Java. ## Papel da IA na Descoberta da Falha O pesquisador da **Horizon3**, Naveen Sunkavally, descobriu o problema usando o **Claude** com prompts básicos. De acordo com Sunkavally, o **Claude** identificou a vulnerabilidade examinando múltiplos componentes individuais, incluindo **Jolokia**, **JMX**, conectores de rede e transportes VM. "Cada recurso isoladamente faz o que deveria, mas eles eram perigosos juntos. É exatamente aqui que o Claude brilhou - costurando eficientemente esse caminho de ponta a ponta com uma mente clara e livre de suposições." ## Disponibilidade de Patch A vulnerabilidade foi reportada aos mantenedores do **Apache** em 22 de março, e um patch foi lançado em 30 de março nas versões 6.2.3 e 5.19.4 do **ActiveMQ Classic**. ## Mecanismo de Exploit Um relatório da **Horizon3** explica que a vulnerabilidade decorre da API de gerenciamento **Jolokia** do **ActiveMQ** que expõe uma função do broker (`addNetworkConnector`) que pode ser abusada para carregar configurações externas. Um atacante pode enviar uma requisição especialmente elaborada para forçar o broker a buscar um arquivo Spring XML remoto e executar comandos arbitrários do sistema durante sua inicialização. O problema requer autenticação via **Jolokia**, mas se torna não autenticado nas versões 6.0.0 a 6.1.1 devido a um bug separado, **CVE-2024-32114**, que expõe a API sem controle de acesso.  ## Recomendação Os pesquisadores da **Horizon3** enfatizam o risco representado por essa falha, citando vulnerabilidades anteriores do **ActiveMQ** exploradas em ataques reais. “Recomendamos que as organizações que executam ActiveMQ tratem isso como alta prioridade, pois o ActiveMQ tem sido um alvo repetido para atacantes reais, e os métodos de exploração e pós-exploração do ActiveMQ são bem conhecidos”, afirma a **Horizon3**. Eles também observaram que **CVE-2016-3088** e **CVE-2023-46604** estão na lista KEV da CISA. Embora a **CVE-2026-34197** não seja relatada como ativamente explorada, sinais de exploração podem ser encontrados nos logs do broker **ActiveMQ**. Eles recomendam procurar por conexões de broker suspeitas que usem o protocolo de transporte interno VM e o parâmetro de consulta `brokerConfig=xbean:http://`. A execução de comandos ocorre durante múltiplas tentativas de conexão, e uma mensagem de aviso sobre um problema de configuração indica a execução bem-sucedida do payload.