PT-2026-55885 · Apache · Apache Camel

Andrea Cosentino

+1

·

Publicado

2026-07-06

·

Atualizado

2026-07-06

·

CVE-2026-43866

Nenhuma

Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do Software Vulnerável e Versões Afetadas Apache Camel versões 3.0.0 até 4.14.7 Apache Camel versões 4.15.0 até 4.18.2 Apache Camel versões 4.19.0 até 4.20.9
Descrição Existe um problema no componente JMS do Apache Camel onde a função JmsBinding.extractBodyFromJms() no camel-jms (e bindings equivalentes no camel-sjms, camel-sjms2, camel-amqp, camel-activemq e camel-activemq6) manipula incorretamente a desserialização de payloads de ObjectMessage do JMS quando a opção mapJmsMessage está habilitada. Embora tenha sido implementada uma verificação de classe pós-desserialização para restringir as classes permitidas, a classe org.apache.camel.support.DefaultExchangeHolder está incluída na lista de permissões. Um invasor pode enviar um ObjectMessage manipulado com um DefaultExchangeHolder como objeto de nível superior para ignorar essa verificação. O sistema então chama DefaultExchangeHolder.unmarshal(), permitindo que o invasor injete estados arbitrários de Exchange — incluindo corpos de mensagem, cabeçalhos, propriedades e variáveis — usando apenas tipos confiáveis de java.lang e java.util. Isso permite a manipulação de roteamento, cabeçalhos, propriedades de troca e tratamento de erros sem a necessidade de uma cadeia de gadgets de desserialização.
Recomendações Atualizar para a versão 4.21.0. Atualizar para a versão 4.14.8 para aqueles na linha de lançamento LTS 4.14.x. Atualizar para a versão 4.18.3 para aqueles na linha de lançamento 4.18.x. Restringir o acesso de publicação às filas e tópicos consumidos pelo Camel apenas a produtores confiáveis via autorização do broker JMS. Evitar a exposição de consumidores JMS que mapeiam corpos de ObjectMessage para redes não confiáveis.

Deserialization of Untrusted Data

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-43866

Produtos afetados

Apache Camel