CVE-2026-40022

Nome do Software Vulnerável e Versões Afetadas Apache Camel versões 4.14.1 a 4.14.5 Apache Camel versões 4.18.0 a 4.18.1

Descrição Quando a autenticação está habilitada no servidor HTTP incorporado ou no servidor de gerenciamento incorporado (camel-platform-http-main) e um caminho de contexto não raiz (por exemplo, "/api" ou "/admin") é configurado via camel.server.path ou camel.management.path, as classes BasicAuthenticationConfigurer e JWTAuthenticationConfigurer derivam o caminho de autenticação de properties.getPath() se camel.server.authenticationPath ou camel.management.authenticationPath não for explicitamente definido. Devido ao modelo de montagem do sub-roteador Vert.x, o manipulador de autenticação corresponde apenas ao caminho de contexto configurado exato, e não aos seus subcaminhos. Consequentemente, solicitações não autenticadas para subcaminhos, como "/api/ route " ou "/admin/observe/info", podem acessar rotas de negócios protegidas e endpoints de gerenciamento sem credenciais. O endpoint "/observe/info" pode divulgar metadados de tempo de execução, incluindo o usuário, diretório de trabalho, diretório home, ID do processo, informações da JVM e do sistema operacional.

Recomendações Atualizar para a versão 4.14.6 para aqueles no fluxo de versões LTS 4.14.x. Atualizar para a versão 4.18.2 para aqueles no fluxo de versões LTS 4.18.x. Atualizar para a versão 4.20.0.