Агентство кибербезопасности США включило критическую уязвимость в Apache ActiveMQ Classic в свой каталог KEV. Идентифицированная как CVE-2026-34197 с оценкой CVSS 8.8, эта уязвимость активно эксплуатируется в реальных средах. Федеральные гражданские агентства имеют предельный срок для применения патчей, что подчеркивает срочность принятия мер для предотвращения компрометации систем обмена сообщениями.
Технический анализ и векторы атаки 🕵️
Уязвимость присутствует в Apache ActiveMQ Classic, популярном брокере сообщений с открытым исходным кодом. Хотя полные технические детали еще не обнародованы, её включение в каталог KEV подтверждает активные случаи эксплуатации. Уязвимость позволяет удаленному злоумышленнику выполнить произвольный код на сервере, компрометируя весь экземпляр. Рекомендуется немедленно обновить до исправленных версий, которые выпустила Apache для устранения этой бреши в безопасности.
Ваш любимый брокер сообщений теперь с дополнительным кодом 😅
Нет ничего лучше, чем начать неделю с новости о том, что ваша система очередей сообщений решила самостоятельно расширить свой функционал, благодаря незваному гостю. ActiveMQ Classic теперь предлагает захватывающую функцию удаленного выполнения кода — подарок, которого не просил ни один администратор. Это идеальное время, чтобы проверить, обновлены ли ваши серверы, прежде чем кто-то другой решит добавить свои собственные пользовательские скрипты в вашу инфраструктуру.