hnytgl/cve-2026-34197

# CVE-2026-34197 ActiveMQ Classic 安全检测工具 这是一个面向防守和内网排查的 Apache ActiveMQ Classic 暴露面检测工具，用于辅助评估 CVE-2026-34197 相关风险。 本项目不包含漏洞利用代码，不执行 Jolokia `exec`，不创建 connector，不加载远程 XML，也不会修改 Broker 状态。工具只进行只读 HTTP 探测和可选的本地配置检查，适合在授权的内部环境中做安全巡检。 ## 检测思路 工具不会只依赖版本号，而是组合多类证据： - ActiveMQ Classic 版本是否处于受影响范围； - `/api/jolokia/version` 是否可访问； - Jolokia 是否需要认证； - ActiveMQ MBean 元数据是否可通过 Jolokia 读取； - 元数据中是否暴露可能改变运行状态的操作名称； - 本地配置中是否存在 Jolokia 访问策略过宽、认证关闭、宽绑定等风险迹象。 这些检查都是只读行为，目的是帮助判断暴露面和加固优先级。 ## 使用方法 检查版本： python3 activemq_cve_2026_34197_checker.py --version 5.18.3 检查 Jolokia 暴露面： python3 activemq_cve_2026_34197_checker.py --url http://127.0.0.1:8161 带认证检查： python3 activemq_cve_2026_34197_checker.py \ --url http://127.0.0.1:8161 \ --username admin \ --password admin 扫描本地配置目录： python3 activemq_cve_2026_34197_checker.py --config-path /opt/activemq/conf 组合检查： python3 activemq_cve_2026_34197_checker.py \ --version 5.18.3 \ --url http://127.0.0.1:8161 \ --config-path /opt/activemq/conf ## 输出说明 工具输出 JSON，重点字段包括： - `version`：版本输入和版本风险判断； - `jolokia`：Jolokia 只读探测结果； - `config_path`：本地配置扫描路径； - `findings`：发现的风险点、级别、原因和证据； - `remediation`：修复和加固建议。 常见风险信号包括： - Jolokia 接口可被未授权访问； - ActiveMQ MBean 元数据可被枚举； - Jolokia 元数据中可见修改运行状态的 Broker 操作； - `jolokia-access.xml` 策略过宽； - 配置中疑似关闭认证； - Jolokia 相关服务绑定到宽地址。 ## 修复建议 建议优先升级 Apache ActiveMQ Classic 到修复版本： - `5.19.4` 或更新版本； - `6.2.3` 或更新版本。 同时建议： - 限制 `/api/jolokia/` 和 Web Console 只能从可信管理网段访问； - 检查 `jolokia-access.xml`，禁止宽泛的 `exec` 和敏感 MBean 操作； - 避免使用默认账号密码； - 如怀疑被利用，轮换 Broker 相关凭据并审计访问日志； - 在边界代理或 WAF 上增加对管理接口的访问控制。 ## 安全边界 这个工具不是 exp，也不是漏洞触发器。它不会： - 调用 Jolokia `exec`； - 创建、更新或删除 connector； - 让 ActiveMQ 加载远程配置； - 写入 Broker 配置； - 执行系统命令。 它适合作为内部安全排查、资产暴露面核查和加固验证的辅助工具。 ## 参考链接 - Apache ActiveMQ 安全公告: https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt - NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-34197

标签：ActiveMQ Classic, CVE-2026-34197, HTTP探测, Jolokia, Python, 加固建议, 只读探测, 安全巡检, 无后门, 暴露面评估, 本地配置扫描, 版本检测, 网络安全, 认证检查, 逆向工具, 配置检查, 隐私保护