CVE-2026-34197 是 Apache ActiveMQ 5.19.4 之前的版本以及 6.0.0 版本（6.2.3 之前的版本）中的一个远程代码执行漏洞。Jolokia JMX-HTTP 桥接器暴露了对 ActiveMQ 自身 MBean 的操作，包括对 Broker MBean 的 addNetworkConnector(String) 。经过身份验证的攻击者可以使用精心构造的 vm:// 传输 URI 来调用此操作，该 URI 包含一个 brokerConfig 参数，指向攻击者控制的 Spring XML 配置文件。当 ActiveMQ 处理此 URI 时，它会获取并解析远程 XML 配置，从而触发 Spring bean 实例化，并允许执行任意代码。

此漏洞可与 CVE-2024-32114（ActiveMQ 6.0.0 至 6.1.1 中的未经身份验证的 Jolokia 访问）链接，以实现未经身份验证的远程代码执行 (RCE)，或者在 API 需要身份验证的版本上使用默认凭据 ( admin:admin ) 进行利用。

复现链接：https://github.com/vulhub/vulhub/tree/master/activemq/CVE-2026-34197