PT-2026-55909 · Apache · Apache Camel

Andrea Cosentino

+1

·

Publicado

2026-07-06

·

Atualizado

2026-07-06

·

CVE-2026-55993

Nenhuma

Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do Software Vulnerável e Versões Afetadas Apache Camel versões 4.0.0 até 4.14.7 Apache Camel versões 4.15.0 até 4.18.2 Apache Camel versões 4.19.0 até 4.20.9
Description A validação incorreta de entradas no componente Atmosphere WebSocket permite que um atacante remoto não autenticado realize Falsificação de Solicitações do Lado do Servidor (SSRF) e exponha informações confidenciais. O consumidor camel-atmosphere-websocket mapeia parâmetros de consulta de WebSocket recebidos para o mapa de cabeçalhos do Camel Exchange sem aplicar uma HeaderFilterStrategy na função WebsocketConsumer.sendEventNotification(). Isso permite que um atacante defina cabeçalhos de controle internos, como CamelHttpUri (representado pela variável Exchange.HTTP URI), através de parâmetros de consulta. Se o consumidor WebSocket alimentar um produtor HTTP subsequente, o CamelHttpUri injetado redireciona a solicitação HTTP do lado do servidor para um destino escolhido pelo atacante. Além disso, o produtor HTTP resolve marcadores de posição de propriedades do Camel na URI, podendo revelar variáveis de ambiente, propriedades da aplicação e segredos de cofre ao atacante.
Recommendations Atualize o Apache Camel versões 4.0.0 até 4.14.7 para a versão 4.14.8. Atualize o Apache Camel versões 4.15.0 até 4.18.2 para a versão 4.18.3. Atualize o Apache Camel versões 4.19.0 até 4.20.9 para a versão 4.21.0. Como mitigação temporária, remova os cabeçalhos de controle do Camel das mensagens recebidas utilizando removeHeaders('Camel*') e removeHeaders('camel*') no início da rota. Exija autenticação no ponto final do WebSocket. Evite conectar consumidores não confiáveis diretamente a um produtor HTTP cujo URI de destino seja determinado pelos cabeçalhos da mensagem.

Information Disclosure

RCE

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55993

Produtos afetados

Apache Camel