CVE-2026-40860

Nome do Software Vulnerável e Versões Afetadas Apache Camel versões 3.0.0 até 4.14.6 Apache Camel versões 4.15.0 até 4.18.1 Apache Camel versões 4.19.0 até 4.19.x

Descrição A função extractBodyFromJms() no camel-jms e a classe JmsBinding no camel-sjms desserializam a carga útil de valores JMS ObjectMessage recebidos via javax.jms.ObjectMessage.getObject() sem aplicar qualquer ObjectInputFilter, lista de permissões (allowlist) ou lista de bloqueios (denylist) de classes. Isso ocorre sempre que a opção mapJmsMessage está habilitada e o Camel atua como um consumidor JMS. Um invasor capaz de publicar um ObjectMessage manipulado em uma fila ou tópico consumido por uma aplicação Camel pode alcançar a execução remota de código quando uma cadeia de gadgets de desserialização estiver presente no classpath. O mesmo problema afeta transitivamente o camel-sjms2, camel-amqp, camel-activemq e camel-activemq6.

Recomendações Atualize para a versão 4.14.7 para aqueles no fluxo de versões LTS 4.14.x. Atualize para a versão 4.18.2 para aqueles no fluxo de versões 4.18.x. Atualize para a versão 4.20.0 para todas as outras versões afetadas.