PT-2026-55910 · Apache · Apache Camel
Andrea Cosentino
+1
·
Publicado
2026-07-06
·
Atualizado
2026-07-06
·
CVE-2026-55994
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do Software Vulnerável e Versões Afetadas
Apache Camel versões 4.17.0 até 4.18.2
Apache Camel versões 4.19.0 até 4.20.x
Description
A validação incorreta de entrada no componente Iggy permite que um agente capaz de publicar no fluxo ou tópico do Iggy consumido injete cabeçalhos de controle internos do Camel, como
CamelHttpUri (Exchange.HTTP URI), no mapa de cabeçalhos do Camel Exchange. Isso ocorre porque a função IggyFetchRecords copia os cabeçalhos de usuário diretamente sem aplicar uma HeaderFilterStrategy. Se o consumidor Iggy alimentar um produtor HTTP subsequente, o CamelHttpUri injetado pode redirecionar solicitações HTTP do lado do servidor para um destino escolhido pelo atacante, resultando em Server-Side Request Forgery (SSRF). Além disso, o produtor HTTP resolve marcadores de posição de propriedades do Camel na URI controlada pelo atacante, o que pode levar à exposição de informações sensíveis, incluindo variáveis de ambiente, propriedades da aplicação e segredos de cofre (vault), pois estes são resolvidos para seus valores reais e enviados ao atacante.Recommendations
Atualizar as versões do Apache Camel 4.17.0 até 4.18.2 para a versão 4.18.3.
Atualizar as versões do Apache Camel 4.19.0 até 4.20.x para a versão 4.21.0.
Como mitigação temporária, remova os cabeçalhos de controle do Camel das mensagens recebidas utilizando
removeHeaders('Camel*') e removeHeaders('camel*') no início da rota.
Restringir as permissões de quem pode publicar no fluxo ou tópico do Iggy consumido.
Evitar a conexão direta de consumidores não confiáveis a um produtor HTTP onde a URI de destino seja definida por cabeçalhos de mensagem.Information Disclosure
RCE
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Camel