PT-2026-55909 · Apache · Apache Camel
Andrea Cosentino
+1
·
Publicado
2026-07-06
·
Atualizado
2026-07-06
·
CVE-2026-55993
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do Software Vulnerável e Versões Afetadas
Apache Camel versões 4.0.0 até 4.14.7
Apache Camel versões 4.15.0 até 4.18.2
Apache Camel versões 4.19.0 até 4.20.9
Description
A validação incorreta de entradas no componente Atmosphere WebSocket permite que um atacante remoto não autenticado realize Falsificação de Solicitações do Lado do Servidor (SSRF) e exponha informações confidenciais. O consumidor
camel-atmosphere-websocket mapeia parâmetros de consulta de WebSocket recebidos para o mapa de cabeçalhos do Camel Exchange sem aplicar uma HeaderFilterStrategy na função WebsocketConsumer.sendEventNotification(). Isso permite que um atacante defina cabeçalhos de controle internos, como CamelHttpUri (representado pela variável Exchange.HTTP URI), através de parâmetros de consulta. Se o consumidor WebSocket alimentar um produtor HTTP subsequente, o CamelHttpUri injetado redireciona a solicitação HTTP do lado do servidor para um destino escolhido pelo atacante. Além disso, o produtor HTTP resolve marcadores de posição de propriedades do Camel na URI, podendo revelar variáveis de ambiente, propriedades da aplicação e segredos de cofre ao atacante.Recommendations
Atualize o Apache Camel versões 4.0.0 até 4.14.7 para a versão 4.14.8.
Atualize o Apache Camel versões 4.15.0 até 4.18.2 para a versão 4.18.3.
Atualize o Apache Camel versões 4.19.0 até 4.20.9 para a versão 4.21.0.
Como mitigação temporária, remova os cabeçalhos de controle do Camel das mensagens recebidas utilizando
removeHeaders('Camel*') e removeHeaders('camel*') no início da rota.
Exija autenticação no ponto final do WebSocket.
Evite conectar consumidores não confiáveis diretamente a um produtor HTTP cujo URI de destino seja determinado pelos cabeçalhos da mensagem.Information Disclosure
RCE
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Camel