Claude молодец, а люди проглядели. Нейросеть нашла в коде Apache подарок для хакеров с десятилетней выдержкой
NewsMakerНовая ошибка в коде позволяет удаленно запускать команды на серверах без ввода пароля.
В популярном сервере обмена сообщениями нашли уязвимость, которая спокойно жила в коде больше десяти лет и позволяла запускать команды на сервере. Причём в ряде случаев злоумышленнику даже не требовался пароль.
Речь идёт о проблеме с кодом CVE-2026-34197 в Apache ActiveMQ Classic. Уязвимость позволяет удалённо выполнить произвольные команды через интерфейс управления. Злоумышленник может заставить сервер загрузить внешний файл конфигурации и выполнить встроенные в него команды операционной системы.
Атака строится вокруг интерфейса Jolokia, который превращает внутренние функции управления Java в обычный веб-интерфейс. Через него можно вызвать специальную операцию addNetworkConnector. В нормальной работе функция связывает несколько серверов между собой, но в уязвимом варианте принимает поддельный адрес и загружает конфигурацию с удалённого сервера злоумышленника.
Дальше срабатывает цепочка: сервер получает ссылку на XML-файл, обрабатывает его через механизм Spring и выполняет команды, прописанные внутри. Например, такой файл может напрямую вызвать системную команду через Runtime.exec().
В популярном сервере обмена сообщениями нашли уязвимость, которая спокойно жила в коде больше десяти лет и позволяла запускать команды на сервере. Причём в ряде случаев злоумышленнику даже не требовался пароль.
Речь идёт о проблеме с кодом CVE-2026-34197 в Apache ActiveMQ Classic. Уязвимость позволяет удалённо выполнить произвольные команды через интерфейс управления. Злоумышленник может заставить сервер загрузить внешний файл конфигурации и выполнить встроенные в него команды операционной системы.
Атака строится вокруг интерфейса Jolokia, который превращает внутренние функции управления Java в обычный веб-интерфейс. Через него можно вызвать специальную операцию addNetworkConnector. В нормальной работе функция связывает несколько серверов между собой, но в уязвимом варианте принимает поддельный адрес и загружает конфигурацию с удалённого сервера злоумышленника.
Дальше срабатывает цепочка: сервер получает ссылку на XML-файл, обрабатывает его через механизм Spring и выполняет команды, прописанные внутри. Например, такой файл может напрямую вызвать системную команду через Runtime.exec().