Організація Shadowserver виявила понад 6400 активних серверів Apache ActiveMQ, які залишаються вразливими до нової модифікації впорскування коду, відомої під ідентифікатором CVE-2026-34197. Проблема криється в інтерфейсі управління Jolokia API, який через помилку валідації вхідних даних дозволяє хакерам змусити сервер завантажувати шкідливі конфігураційні файли з віддалених ресурсів. У результаті зловмисники можуть виконувати довільні команди на операційній системі сервера з високими правами доступу.

Дослідження показує, що хоча патчі були випущені нещодавно, темпи оновлення систем залишаються низькими. Ситуація ускладнюється тим, що на багатьох серверах досі використовуються стандартні паролі адміністратора, або ж через супутню помилку CVE-2024-32114 доступ до API взагалі не потребує авторизації. Це призвело до того, що автоматизовані ботнети почали масове сканування мережі для пошуку таких серверів з метою розгортання програм-вимагачів або прихованого видобутку криптовалюти.