La comunidad de seguridad acaba de descubrir una falla crítica en Apache ActiveMQ Classic que llevaba sin ser detectada más de una década y que permite ejecutar comandos remotos en los sistemas afectados. Se trata de una vulnerabilidad registrada como CVE-2026-34197, con una puntuación de gravedad alta (8.8), que afecta a versiones de ActiveMQ Classic anteriores a la 5.19.4 y a todas las ediciones entre 6.0.0 y 6.2.3 hasta que se aplicó la corrección.
ActiveMQ es un corredor de mensajes open source escrito en Java y muy utilizado en infraestructuras empresariales, backends web y entornos gubernamentales para manejar la comunicación asíncrona mediante colas y topics. Aunque existe una rama más moderna llamada Artemis, la edición “Classic” sigue ampliamente desplegada, y por eso esta vulnerabilidad tiene un alcance importante en entornos reales.
Lo llamativo de este hallazgo no es solo la longevidad del fallo, sino la herramienta que ayudó a identificar la ruta de explotación: el asistente de IA Claude. El investigador de Horizon3, Naveen Sunkavally, explica que mediante unas pocas indicaciones a la IA pudo obtener una cadena de ataque que conecta varias funcionalidades del producto. Según describe, la mayor parte del trabajo fue producido por la IA y después fue refinado por la persona investigadora, lo que ilustra cómo los modelos pueden detectar interacciones entre componentes que los análisis tradicionales pasan por alto.
El vector técnico aprovecha la API de gestión Jolokia en ActiveMQ. Esa API expone una operación del broker (addNetworkConnector) que, combinada con ciertas opciones de carga remota de configuración, permite forzar al broker a descargar un archivo XML de Spring desde una ubicación controlada por el atacante. Durante la inicialización de esa configuración externa puede ejecutarse código del sistema, lo que conduce a la ejecución remota de comandos. Horizon3 describe este flujo y los riesgos asociados en su informe técnico, que incluye más detalles sobre la mecánica del fallo y recomendaciones iniciales: informe de Horizon3.
Hay además un agravante: aunque la explotación requiere en principio autenticación vía Jolokia, en determinadas versiones (concretamente ActiveMQ 6.0.0 hasta 6.1.1) esa barrera de acceso fue abierta por otro fallo separado, CVE-2024-32114, que permitió exponer la API sin control, dejando implícitamente la puerta abierta a un RCE no autenticado. Esto explica en parte por qué el problema pudo pasar desapercibido tanto tiempo: las piezas involucradas se comportaban de forma esperada por separado, pero combinadas permitían una cadena explotable.
Los mantenedores de Apache fueron notificados a finales de marzo y publicaron una corrección rápidamente; las versiones parcheadas son la 5.19.4 y la 6.2.3. La nota oficial de seguridad y el anuncio de la corrección están disponibles en el sitio de Apache ActiveMQ: anuncio de Apache sobre CVE-2026-34197. Como siempre en estos casos, actualizar a las versiones parcheadas debería ser la prioridad número uno para cualquier equipo que use ActiveMQ Classic.
Además de actualizar, los investigadores recomiendan revisar los registros del broker en busca de indicadores específicos: conexiones del tipo interno VM que incluyan parámetros de configuración remota con brokerConfig=xbean:http:// y cualquier intento repetido de conexión que vaya acompañado de avisos sobre problemas de configuración. Esos mensajes pueden indicar que el broker ya intentó cargar la configuración maliciosa y que la ejecución de comandos pudo haberse producido.
El historial de ActiveMQ en incidentes reales hace que este aviso sea especialmente relevante. Explotaciones previas sobre el mismo producto han sido aprovechadas en ataques en el mundo real —y algunas de esas vulnerabilidades aparecen en catálogos públicos de riesgo—, por lo que los responsables de infraestructura deben tratar este parche como urgente. Para contexto adicional sobre vulnerabilidades antiguas y su explotación en campo, la lista de CISA sobre vulnerabilidades explotadas es un recurso útil: CISA KEV.
Más allá del parche inmediato, este caso deja una lección sobre seguridad en software: los análisis automatizados y las revisiones tradicionales pueden perder rutas de ataque que emergen de la interacción entre módulos desarrollados de forma independiente. El uso de herramientas de IA para apoyar el descubrimiento de vulnerabilidades está demostrando ser valioso, pero también subraya la necesidad de integrar esa capacidad dentro de procesos de auditoría, pruebas de seguridad y control de accesos, no como sustituto único de revisiones humanas.
Si administras instancias de ActiveMQ Classic, actualiza cuanto antes, restringe el acceso a la API de gestión Jolokia mediante controles de red y autenticación fuerte, y examina tus logs por patrones anómalos relacionados con conexiones VM y parámetros de carga de configuración remota. Para detalles técnicos y mitigaciones, el informe de Horizon3 y el aviso de Apache son las referencias clave: Horizon3 y Apache ActiveMQ.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...