CVE-2026-40048

Nome do Software Vulnerável e Versões Afetadas Apache Camel versões 4.19.0 até 4.19.x Apache Camel versões 4.18.0 até 4.18.1

Descrição A classe FileBasedKeyLifecycleManager do Camel-PQC desserializa o conteúdo de arquivos <keyId>.key no diretório de chaves configurado usando java.io.ObjectInputStream sem aplicar um ObjectInputFilter ou restrições de carregamento de classe. Como a conversão para java.security.KeyPair ocorre apenas após o retorno da função readObject(), quaisquer efeitos colaterais no objeto desserializado são executados antes da verificação de tipo. Um invasor com acesso de escrita ao diretório de chaves — possivelmente obtido via path traversal, permissões de sistema de arquivos mal configuradas, um pipeline de provisionamento de chaves comprometido ou um ataque de symlink — pode inserir um objeto Java serializado manipulado para obter a execução de código arbitrário no contexto da aplicação.

Recomendações Atualizar para a versão 4.20.0. Atualizar para a versão 4.18.2 para usuários no fluxo de versões LTS 4.18.x.