CVE-2026-40453

Nome do Software Vulnerável e Versões Afetadas Apache Camel versões 3.0.0 até 4.14.5 Apache Camel versões 4.15.0 até 4.18.1 Apache Camel versões 4.19.0 até 4.19.x

Descrição Certas implementações de HeaderFilterStrategy não-HTTP, especificamente JmsHeaderFilterStrategy e ClassicJmsHeaderFilterStrategy no camel-jms, SjmsHeaderFilterStrategy no camel-sjms, CoAPHeaderFilterStrategy no camel-coap e GooglePubsubHeaderFilterStrategy no camel-google-pubsub, utilizam filtragem sensível a maiúsculas e minúsculas para cabeçalhos que começam com 'Camel' ou 'camel'. Como o Camel Exchange armazena cabeçalhos em um mapa insensível a maiúsculas e minúsculas, um invasor com acesso de produtor JMS ou equivalente ao broker consumido por uma rota Camel pode injetar cabeçalhos internos com variações de caixa. Esses cabeçalhos são posteriormente resolvidos por componentes downstream, como camel-exec e camel-file, usando sua formatação canônica, o que pode permitir a execução remota de código e a gravação de arquivos arbitrários em rotas que encaminham mensagens JMS para componentes orientados a cabeçalhos.

Recomendações Atualizar as versões 3.0.0 até 4.14.5 para 4.14.6. Atualizar as versões 4.15.0 até 4.18.1 para 4.18.2. Atualizar as versões 4.19.0 até 4.19.x para 4.20.0.