PT-2026-55910 · Apache · Apache Camel

Andrea Cosentino

+1

·

Publicado

2026-07-06

·

Atualizado

2026-07-06

·

CVE-2026-55994

Nenhuma

Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do Software Vulnerável e Versões Afetadas Apache Camel versões 4.17.0 até 4.18.2 Apache Camel versões 4.19.0 até 4.20.x
Description A validação incorreta de entrada no componente Iggy permite que um agente capaz de publicar no fluxo ou tópico do Iggy consumido injete cabeçalhos de controle internos do Camel, como CamelHttpUri (Exchange.HTTP URI), no mapa de cabeçalhos do Camel Exchange. Isso ocorre porque a função IggyFetchRecords copia os cabeçalhos de usuário diretamente sem aplicar uma HeaderFilterStrategy. Se o consumidor Iggy alimentar um produtor HTTP subsequente, o CamelHttpUri injetado pode redirecionar solicitações HTTP do lado do servidor para um destino escolhido pelo atacante, resultando em Server-Side Request Forgery (SSRF). Além disso, o produtor HTTP resolve marcadores de posição de propriedades do Camel na URI controlada pelo atacante, o que pode levar à exposição de informações sensíveis, incluindo variáveis de ambiente, propriedades da aplicação e segredos de cofre (vault), pois estes são resolvidos para seus valores reais e enviados ao atacante.
Recommendations Atualizar as versões do Apache Camel 4.17.0 até 4.18.2 para a versão 4.18.3. Atualizar as versões do Apache Camel 4.19.0 até 4.20.x para a versão 4.21.0. Como mitigação temporária, remova os cabeçalhos de controle do Camel das mensagens recebidas utilizando removeHeaders('Camel*') e removeHeaders('camel*') no início da rota. Restringir as permissões de quem pode publicar no fluxo ou tópico do Iggy consumido. Evitar a conexão direta de consumidores não confiáveis a um produtor HTTP onde a URI de destino seja definida por cabeçalhos de mensagem.

Information Disclosure

RCE

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-55994

Produtos afetados

Apache Camel