CVE-2026-40473

Nome do Software Vulnerável e Versões Afetadas Apache Camel versões 3.0.0 até 4.14.5 Apache Camel versões 4.15.0 até 4.18.1 Apache Camel versões 4.19.0 até 4.19.9

Descrição O componente camel-mina possui uma falha na função MinaConverter.toObjectInput(IoBuffer) onde ele encapsula um IoBuffer em um java.io.ObjectInputStream sem aplicar nenhum ObjectInputFilter ou restrições de carregamento de classe. Quando uma rota Camel utiliza o camel-mina como um consumidor TCP ou UDP e solicita a conversão para ObjectInput (por exemplo, via getBody(ObjectInput.class) ou @Body ObjectInput), um invasor remoto pode enviar um objeto Java serializado malicioso para a porta do consumidor MINA. Isso pode resultar na execução de código arbitrário no contexto da aplicação durante o processo readObject() devido à desserialização insegura.

Recomendações Atualizar para a versão 4.14.6 para aqueles no fluxo de versões LTS 4.14.x. Atualizar para a versão 4.18.2 para aqueles no fluxo de versões 4.18.x. Atualizar para a versão 4.20.0 para todas as outras versões afetadas.