Apache ActiveMQ /api/jolokia/list 未授权访问漏洞（CVE-2024-32114）

影响产品：Apache ActiveMQ CVSS：6.7 漏洞类型：未授权访问 漏洞描述： Apache ActiveMQ 是基于 Java Message Service (JMS) 的开源消息中间件。Jolokia通过REST API提供了JMX over HTTP的能力。受影响版本中，由于ActiveMQ集成了Jolokia并未对 Jolokia JMX REST API 和 Message REST API 添加身份校验，未授权的攻击者可利用暴露的API与消息代理进行交互，或者使用 Message REST API 发送和接收消息，甚至清除或删除消息队列和主题。 影响： 该漏洞允许攻击者通过未授权的Jolokia JMX REST API与消息代理交互，可能导致敏感信息泄露、消息队列被清空或删除，甚至影响系统的正常运行。 修复建议： 建议关闭未使用的Jolokia接口，或通过配置文件限制其访问权限。同时，升级到最新版本的ActiveMQ，并确保所有安全补丁已应用。 FOFA： (title="Apache ActiveMQ" && body="<div id=\"activemq_logo\">")