Claude encuentra una vulnerabilidad RCE de día 0 de hace 13 años en Apache ActiveMQ en 10 minutos
Resumen Informativo
De acuerdo a la publicación titulada Claude encuentra una vulnerabilidad RCE de día 0 de hace 13 años en Apache ActiveMQ en 10 minutos, difundida en fecha 08/04/2026 04:18, por el medio Cybersecuritynews (Autor: Guru Baran):
Se ha revelado una vulnerabilidad crítica de ejecución remota de código (RCE) en Apache ActiveMQ Classic, una falla que no fue detectada durante más de una década y que finalmente fue descubierta no por un investigador humano que revisaba manualmente el código, sino por el modelo Claude AI de Anthropic en menos de 10 minutos. Registrada como CVE-2026-34197, la falla es una vulnerabilidad de inyección de código y validación de entrada incorrecta que reside en el puente Jolokia JMX-HTTP de Apache ActiveMQ Classic, expuesta a través de la consola web en /api/jolokia/ en el puerto 8161.
Vulnerabilidad de Apache ActiveMQ RCE El esquema xbean: luego entrega la URL a ResourceXmlApplicationContext de Spring, que crea una instancia de todas las definiciones de beans en el archivo XML remoto, lo que permite la ejecución arbitraria de comandos del sistema operativo a través de MethodInvokingFactoryBean de Spring para invocar Runtime.getRuntime().exec(). La causa raíz se remonta a una solución para CVE-2022-41678, donde Apache agregó una regla general de permiso de Jolokia para todas las operaciones en los propios MBeans de ActiveMQ (org.apache.activemq:*) para preservar la funcionalidad de la consola web. Esa decisión, sin darse cuenta, desbloqueó todas las operaciones de gestión, incluido addNetworkConnector, como superficie de ataque a través de la API REST de Jolokia. Vulnerabilidad de Apache ActiveMQ RCE (Fuente: Horizon3) Más importante aún, las organizaciones que ejecutan las versiones de ActiveMQ 6.0.0 a 6.1.1 están expuestas a una ruta RCE completamente no autenticada.
Una falla separada, CVE-2024-32114, eliminó inadvertidamente las restricciones de autenticación de la ruta /api/* en esas versiones, lo que significa que el punto final de Jolokia no requiere credenciales, lo que convierte a CVE-2026-34197 en un RCE sin autenticación en esas compilaciones. Tanto CVE-2016-3088 (RCE autenticado a través de la consola web) como CVE-2023-46604 (RCE no autenticado a través del puerto del corredor) figuran en el catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA.
| Fuente: | Cybersecuritynews |
| Título original: | Claude encuentra una vulnerabilidad RCE de día 0 de hace 13 años en Apache ActiveMQ en 10 minutos |
| Publicado: | 08/04/2026 04:18 |
| Enlace: | https://cybersecuritynews.com/claude-apache-activemq |
| Consultado: | 08/04/2026 |
