Vulnerabilidades críticas en Apache 2026
Vulnerabilidad crítica - 10/04
Introducción
CVE-2026-34197 afecta a Apache ActiveMQ, específicamente, a su componente Jolokia JMX-HTTP.
La validación de entrada insuficiente y un control inseguro de generación de código permite que un atacante autenticado pueda invocar operaciones administrativas expuestas en el endpoint /api/jolokia/.
Mediante una petición especialmente manipulada, es posible forzar la carga de configuraciones externas en formato Spring XML, lo que deriva en la instanciación de objetos maliciosos y, finalmente, en ejecución remota de código en la máquina virtual del broker.
Esta falla, que permaneció durante aproximadamente 13 años en Apache ActiveMQ Classic, puede ser encadenada con una vulnerabilidad previa (CVE-2024-32114) para eludir los mecanismos de autenticación.
Análisis
CVE-2026-34197 - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H - 8,8
CVE-2026-34197 en Apache afecta al componente Jolokia JMX-HTTP expuesto en la consola web del broker y permite a un atacante autenticado ejecutar código remoto en la máquina virtual del servidor. El problema surge por una validación insuficiente de entradas y una configuración demasiado permisiva del endpoint /api/jolokia/, que habilita operaciones “exec” sobre MBeans del broker.
Un atacante puede abusar de estas operaciones para invocar métodos administrativos como la creación de conectores de red o configuraciones del broker, lo que desencadena la carga de una configuración externa en formato Spring XML.
Durante este proceso, el sistema instancia objetos antes de que se valide la configuración, lo que permite la ejecución de comandos arbitrarios en la JVM, alcanzando así ejecución remota de código (RCE). El impacto es crítico porque compromete completamente el sistema afectado, y las versiones vulnerables incluyen ramas anteriores a las versiones parcheadas por el proyecto Apache, por lo que se recomienda la actualización inmediata para mitigar el riesgo.
Productos afectados
- Apache ActiveMQ Broker (org.apache.activemq:activemq-broker)
- Apache ActiveMQ (org.apache.activemq:activemq-all)
- Apache ActiveMQ Classic
Recomendaciones
Actualizar a la versión 5.19.4 o 6.2.3.
Workarounds
No hay workarounds para esta vulnerabilidad.
Referencias
- https://activemq.apache.org/security-advisories.data/CVE-2026-34197-announcement.txt
- https://www.euskadi.eus/gobierno-vasco/-/noticia/2026/validacion-entrada-incorrecta-activemq-apache/
- https://horizon3.ai/attack-research/disclosures/cve-2026-34197-activemq-rce-jolokia/
- https://access.redhat.com/security/cve/cve-2026-34197
Vulnerabilidad crítica - 14/04
Introducción
CVE-2026-29146 es una vulnerabilidad de tipo criptográfico que afecta a Apache Tomcat y a su componente EncryptInterceptor, utilizado en escenarios de comunicación en clúster mediante tomcat-tribes. El problema se origina en el uso de un esquema de cifrado considerado inseguro en determinados contextos, ya que se basa en AES en modo CBC con padding PKCS5.
Esta combinación puede ser explotada mediante un ataque de tipo padding oracle, una técnica que permite a un atacante inferir información sobre el contenido cifrado a partir de las respuestas del sistema ante datos manipulados.
La vulnerabilidad permite que un atacante que tenga capacidad de interceptar o influir en el tráfico entre nodos pueda enviar mensajes cifrados alterados y analizar las diferencias en las respuestas del sistema, como errores o comportamientos observables.
A partir de estas señales, es posible deducir si el padding del mensaje es correcto o incorrecto, lo que gradualmente puede permitir reconstruir el contenido en texto claro sin necesidad de conocer la clave de cifrado. Esto convierte un mecanismo de cifrado que debería garantizar confidencialidad en un sistema parcialmente observable, donde la información puede ser inferida.
Análisis
CVE-2026-29146 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N - 7,5
CVE-2026-29146 se basa en la explotación de un esquema de cifrado simétrico en modo CBC con padding PKCS5, en el que el sistema debe validar la estructura del relleno tras el descifrado de cada bloque. En condiciones normales, esta validación debería ser completamente opaca para un atacante, sin revelar información adicional sobre el contenido del mensaje.
Sin embargo, en este caso, el comportamiento del sistema difiere dependiendo de si el padding es correcto o incorrecto, lo que introduce una fuente de información indirecta.
Este comportamiento observable convierte al sistema en lo que se denomina un oracle de padding. En un escenario de ataque, un adversario con capacidad de interceptar el tráfico entre nodos del clúster puede modificar bloques de texto cifrado y reenviarlos al sistema objetivo. A partir de las respuestas obtenidas, el atacante puede inferir si el padding del mensaje descifrado es válido en cada intento.
A nivel técnico, este proceso permite realizar una reconstrucción iterativa del texto plano.
Mediante la modificación sistemática de los bloques cifrados y el análisis de la respuesta del sistema, el atacante puede deducir progresivamente los bytes originales del mensaje sin necesidad de conocer la clave criptográfica. Esto convierte una primitiva criptográfica teóricamente segura en un canal de filtración de información explotable.
En el contexto específico de Apache Tomcat
Este problema afecta a la comunicación interna entre nodos en entornos de clúster, donde el EncryptInterceptor gestiona el cifrado de mensajes entre instancias.
Si un atacante logra acceso a la red interna o a un punto intermedio de comunicación, puede abusar de este comportamiento para extraer información sensible transmitida entre servidores, comprometiendo así la confidencialidad del sistema distribuido.
La causa raíz del problema no reside en la debilidad del algoritmo AES en sí, sino en el uso de un modo de operación (CBC con padding no autenticado) que no proporciona integridad criptográfica.
La ausencia de un mecanismo de autenticación de mensajes permite que el sistema procese entradas manipuladas y, de forma indirecta, revele información a través de sus respuestas observables.
Versiones afectadas
En la rama 11.x, están afectadas las versiones desde 11.0.0-M1 hasta 11.0.18; en la rama 10.x, desde 10.0.0-M1 hasta 10.1.52; en la rama 9.x, desde 9.0.13 hasta 9.0.115; en la rama 8.5.x, desde 8.5.38 hasta 8.5.100; y en la rama 7.x, desde 7.0.100 hasta 7.0.109.
La vulnerabilidad fue introducida en el componente EncryptInterceptor, por lo que únicamente afectan las versiones de Tomcat que incorporan este mecanismo de cifrado de comunicaciones en clúster. Las versiones anteriores a los rangos indicados no se consideran afectadas porque no incluyen dicha funcionalidad.
Recomendaciones
Las versiones seguras recomendadas son las primeras versiones parcheadas de cada rama: 11.0.19, 10.1.53 y 9.0.116, que introducen cambios en la validación criptográfica y eliminan el uso inseguro del modo CBC en este contexto.
Workarounds
No hay workarounds para esta vulnerabilidad.