CVE-2026-33453

Nome do Software Vulnerável e Versões Afetadas Apache Camel versões 4.14.0 a 4.14.5 Apache Camel versões anteriores a 4.18.1 Apache Camel versão 4.19.0

Descrição O componente camel-coap é suscetível à injeção de cabeçalhos de mensagem. A função CamelCoapResource.handleRequest() itera sobre OptionSet.getUriQuery() e chama camelExchange.getIn().setHeader(...) para cada parâmetro de consulta sem aplicar uma HeaderFilterStrategy. Isso permite que um invasor remoto não autenticado injete cabeçalhos internos arbitrários (prefixados com Camel*) enviando um único pacote UDP CoAP para uma rota que consome de 'coap://'.

Se a rota encaminhar a solicitação para produtores sensíveis a cabeçalhos, como 'camel-exec', 'camel-sql', 'camel-bean', 'camel-file' ou componentes de template ('camel-freemarker', 'camel-velocity'), os cabeçalhos injetados podem alterar o comportamento do produtor. Especificamente, usando o 'camel-exec', os cabeçalhos CamelExecCommandExecutable e CamelExecCommandArgs podem substituir as configurações configuradas para alcançar a execução arbitrária de comandos do SO sob os privilégios do processo Camel. A saída é retornada na carga útil da resposta CoAP, fornecendo um canal interativo de execução remota de código.

Recomendações Atualizar para a versão 4.18.1. Atualizar para a versão 4.19.0.