Công nghệ Lê Huy

Trang chủ

Về chúng tôi

Dịch vụ

Tin tức

Liên hệ

Phần mềmBảo mật

Lỗ hổng RCE ẩn mình trong Apache ActiveMQ suốt 13 năm vừa được phát hiện

08 tháng 4, 2026·2 phút đọc

Một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng đã tồn tại trong Apache ActiveMQ Classic suốt 13 năm vừa được Horizon3.ai phát hiện. Lỗi này có thể được kết hợp với một lỗ hổng khác để bỏ qua xác thực, cho phép kẻ tấn công chiếm quyền kiểm soát hệ thống. Người dùng cần cập nhật ngay lên các phiên bản vá lỗi để bảo vệ hệ thống.

Lỗ hổng RCE ẩn mình trong Apache ActiveMQ suốt 13 năm vừa được phát hiện

Horizon3.ai vừa báo cáo về một lỗ hổng bảo mật nghiêm trọng trong Apache ActiveMQ Classic, một phần mềm trung gian (broker) mã nguồn mở phổ biến được sử dụng rộng rãi để xử lý hàng đợi tin nhắn và tích hợp hệ thống. Đáng chú ý, lỗ hổng này đã ẩn mình trong mã nguồn của phần mềm suốt 13 năm trước khi được phát hiện.

Lỗ hổng mới này, được theo dõi dưới mã định danh CVE-2026-34197, cho phép kẻ tấn công thực thi mã từ xa (RCE). Cơ chế hoạt động của nó là khai thác API Jolokia để thao túng broker, khiến nó tải một tệp cấu hình từ xa và thực thi các lệnh hệ điều hành.

Lỗ hổng bảo mật ApacheLỗ hổng bảo mật Apache

Theo Horizon3.ai, lỗi này thực chất là một cách vượt qua (bypass) bản vá cho CVE-2022-41678. Vấn đề nằm ở tính năng VM transport của ActiveMQ, được thiết kế để nhúng broker vào trong một ứng dụng. Nếu một URI VM transport tham chiếu đến một broker không tồn tại, ActiveMQ sẽ tự động tạo một broker mới và chấp nhận các tham số cấu hình, bao gồm cả việc tải cấu hình từ URL do kẻ tấn công cung cấp.

Bằng cách kết hợp các cơ chế này, kẻ tấn công có thể lừa broker tải và chạy tệp cấu hình XML của Spring, từ đó thực thi mã độc.

Nguy hiểm hơn, trên một số triển khai cụ thể, kẻ tấn công có thể đạt được RCE mà không cần xác thực nhờ vào lỗ hổng CVE-2024-32114. Lỗi này lộ diện API Jolokia cho người dùng chưa xác thực trên các phiên bản ActiveMQ từ 6.0.0 đến 6.1.1 do một sai sót trong cấu hình bảo mật của bảng điều khiển web.

"CVE-2024-32114 là một lỗ hổng riêng biệt trong ActiveMQ 6.x, nơi đường dẫn /api/* bao gồm cả điểm cuối Jolokia đã bị vô tình loại bỏ khỏi các ràng buộc bảo mật của bảng điều khiển web. Điều này có nghĩa là Jolokia hoàn toàn không cần xác thực trên các phiên bản ActiveMQ từ 6.0.0 đến 6.1.1," Horizon3.ai giải thích.

Lỗi bảo mật mới được phát hiện này đã được khắc phục trong các phiên bản ActiveMQ Classic 5.19.46.2.3. Các chuyên gia bảo mật khuyến cáo người dùng và quản trị viên hệ thống nên cập nhật lên các phiên bản này càng sớm càng tốt để ngăn chặn nguy cơ bị tấn công.

Bài viết được tổng hợp và biên soạn bằng AI từ các nguồn tin tức công nghệ. Nội dung mang tính tham khảo. Xem bài gốc ↗

Bài viết liên quan

Anthropic ra mắt Claude Opus 4.7: Nâng cấp mạnh mẽ cho lập trình nhưng vẫn thua Mythos Preview

Phần mềm

Anthropic ra mắt Claude Opus 4.7: Nâng cấp mạnh mẽ cho lập trình nhưng vẫn thua Mythos Preview

16 tháng 4, 2026

Qwen3.6-35B-A3B: Quyền năng Lập trình Agentic, Nay Đã Mở Cửa Cho Tất Cả

Công nghệ

Qwen3.6-35B-A3B: Quyền năng Lập trình Agentic, Nay Đã Mở Cửa Cho Tất Cả

16 tháng 4, 2026

Spotify thắng kiện 322 triệu USD từ nhóm pirate Anna's Archive nhưng đối mặt với bài toán thu hồi

Công nghệ

Spotify thắng kiện 322 triệu USD từ nhóm pirate Anna's Archive nhưng đối mặt với bài toán thu hồi

16 tháng 4, 2026

← Quay lại tin tức