CVE-2026-25747

Nome do Software Vulnerável e Versões Afetadas Apache Camel versões 4.10.0 a 4.10.7 Apache Camel versões 4.14.0 a 4.14.4 Apache Camel versões 4.15.0 a 4.17.9

Descrição O componente LevelDB do Apache Camel contém uma falha relacionada à desserialização de dados não confiáveis. A classe DefaultLevelDBSerializer desserializa dados do repositório de agregação LevelDB usando java.io.ObjectInputStream sem implementar medidas de segurança adequadas, como ObjectInputFilter ou restrições de carregamento de classes. Isso permite que um atacante com capacidade de escrita nos arquivos de banco de dados LevelDB utilizados por uma aplicação Camel insira um objeto Java serializado malicioso. Quando esse objeto é desserializado durante operações normais do repositório de agregação, pode levar à execução arbitrária de código no contexto da aplicação. O componente LevelDB utiliza a função DefaultLevelDBSerializer para desserializar dados. O parâmetro vulnerável é o objeto Java serializado gravado no banco de dados LevelDB.

Recomendações Atualize para a versão 4.18.0 ou posterior do Apache Camel. Atualize para a versão 4.10.9 do Apache Camel para as versões LTS 4.10.x. Atualize para a versão 4.14.5 do Apache Camel para as versões LTS 4.14.x.