PT-2026-55908 · Apache · Apache Camel
Andrea Cosentino
·
Publicado
2026-07-06
·
Atualizado
2026-07-06
·
CVE-2026-53913
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do Software Vulnerável e Versões Afetadas
Apache Camel versões 4.15.0 até 4.18.2
Apache Camel versões 4.19.0 até 4.20.9
Description
Uma autenticação incorreta e uma falha de segurança (Failing Open) no componente Keycloak do Apache Camel permitem o acesso não autenticado a rotas protegidas. A
KeycloakSecurityPolicy utiliza a função KeycloakSecurityProcessor.beforeProcess() para validar requisições. Por padrão, as variáveis requiredRoles e requiredPermissions ficam vazias, fazendo com que o sistema ignore a verificação criptográfica do token de acesso, incluindo a validação de assinatura, emissor e data de expiração. Embora requisições sem token sejam rejeitadas, qualquer valor diferente de nulo no cabeçalho Authorization: Bearer — como uma string arbitrária ou um JWT forjado e sem assinatura — é aceito. Isso ocorre porque a variável allowTokenFromHeader possui o valor true por padrão. Caso a rota protegida encaminhe a requisição para um produtor capaz de executar código, essa falha pode resultar em execução remota de código sem autenticação.Recommendations
Atualize o Apache Camel para a versão 4.21.0.
Atualize o Apache Camel para a versão 4.18.3 para usuários na linha de versões 4.18.x.
Configure
requiredRoles ou requiredPermissions com valores não vazios em cada KeycloakSecurityPolicy para garantir que a verificação do token seja executada.
Defina allowTokenFromHeader como false quando não for esperado que o token venha do cabeçalho da requisição.
Realize a verificação do token na camada do framework antes da aplicação da política.Missing Authentication
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Camel