अमेरिका की साइबर सुरक्षा एजेंसी ने अपने KEV कैटलॉग में Apache ActiveMQ Classic के एक गंभीर कमजोरी को शामिल किया है। CVE-2026-34197 के रूप में पहचानी गई और 8.8 के CVSS स्कोर वाली, यह खामी वास्तविक वातावरण में सक्रिय रूप से शोषित की जा रही है। संघीय नागरिक एजेंसियों के पास पैच लागू करने की एक समय सीमा है, जो मैसेजिंग सिस्टम में समझौता रोकने के लिए शमन की तात्कालिकता को रेखांकित करती है।
तकनीकी विश्लेषण और हमले के वैक्टर 🕵️
यह कमजोरी Apache ActiveMQ Classic में निहित है, जो एक लोकप्रिय ओपन-सोर्स मैसेजिंग ब्रोकर है। हालांकि पूर्ण तकनीकी विवरण अभी तक सार्वजनिक नहीं हैं, KEV कैटलॉग में इसके शामिल होने से सक्रिय शोषण की पुष्टि होती है। यह खामी एक दूरस्थ हमलावर को सर्वर पर मनमाना कोड निष्पादित करने की अनुमति देती है, जिससे पूरी इंस्टेंस समझौता हो जाती है। इस सुरक्षा अंतर को संबोधित करने के लिए Apache द्वारा जारी पैच किए गए संस्करणों में तुरंत अपग्रेड करने की सिफारिश की जाती है।
आपका पसंदीदा मैसेज ब्रोकर अब अतिरिक्त कोड के साथ 😅
सप्ताह की शुरुआत इस खबर से बेहतर क्या हो सकती है कि आपकी मैसेज कतार प्रणाली ने एक अवांछित आगंतुक की मदद से, अपने आप अपनी कार्यक्षमता का विस्तार करने का फैसला किया है। ActiveMQ Classic अब दूरस्थ कोड निष्पादित करने की रोमांचक सुविधा प्रदान करता है, एक ऐसा उपहार जिसकी किसी भी व्यवस्थापक ने मांग नहीं की थी। यह आपके सर्वर अपडेटेड हैं या नहीं, यह जांचने का सही समय है, इससे पहले कि कोई और आपके बुनियादी ढांचे में अपनी खुद की कस्टम स्क्रिप्ट जोड़ने का फैसला करे।