CVE-2026-41044｜Apache ActiveMQ代码注入漏洞

0x00 前言

ActiveMQ是Apache出品的一款开源消息中间件，完全支持JMS 1.1和J2EE 1.4规范，能为分布式系统提供高效、稳定、安全的企业级消息通信服务。

它支持Java、C、Python等多语言客户端，兼容OpenWire、Stomp、AMQP等多种协议，还具备消息持久化、优先级设置、延迟接收、主从管理等丰富特性，可轻松嵌入Spring应用，适配TomEE、JBoss等多种J2EE服务器。

其核心包含Broker（消息代理服务器）、Producer（消息生产者）、Consumer（消息消费者）等组件，支持点对点（Queue）和发布订阅（Topic）两种消息传递模型，前者确保每条消息仅被一个消费者接收，后者可实现消息向所有订阅者广播，能有效帮助系统实现解耦、异步通信与流量削峰。

0x01 漏洞描述

受影响版本中，BrokerService.setBrokerName方法的正则表达式校验存在缺陷，原正则字符类[^a-zA-Z0-9\.\_\-\:]中反斜杠转义处理不当导致某些字符未被正确过滤，攻击者可通过管理接口构造包含xbean绑定的恶意broker名称。

RegionBroker的brokerName字段非final且存在setter方法，允许在初始化后被修改。XBeanBrokerFactory未对resourceFromString加载的URL协议类型进行限制，默认允许任意协议。

攻击者利用这些缺陷可通过VM transport加载远程Spring XML配置文件，触发Spring实例化单例bean时执行Runtime.exec()等方法，实现任意代码执行。

0x02 CVE编号

CVE-2026-41044

0x03 影响版本

Apache ActiveMQ (org.apache.activemq:apache-activemq) before 5.19.6
Apache ActiveMQ (org.apache.activemq:apache-activemq) 6.0.0 before 6.2.5
Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) before 5.19.6
Apache ActiveMQ Broker (org.apache.activemq:activemq-broker) 6.0.0 before 6.2.5
Apache ActiveMQ All (org.apache.activemq:activemq-all) before 5.19.6
Apache ActiveMQ All (org.apache.activemq:activemq-all) 6.0.0 before 6.2.5

0x04 漏洞详情

https://activemq.apache.org/security-advisories.data/CVE-2026-41044-announcement.txt

0x05 参考链接

https://activemq.apache.org/security-advisories.data/CVE-2026-41044-announcement.txt

推荐阅读：

CVE-2026-34197｜Apache ActiveMQ远程代码执行漏洞（POC）

CVE-2026-40175｜Axios存在CRLF注入漏洞（POC）

CVE-2026-39363｜Vite存在任意文件读取漏洞（POC）

Ps：国内外安全热点分享，欢迎大家分享、转载，请保证文章的完整性。文章中出现敏感信息和侵权内容，请联系作者删除信息。信息安全任重道远，感谢您的支持

！！！