PT-2026-55911 · Apache · Apache Camel

Andrea Cosentino

+1

·

Publicado

2026-07-06

·

Atualizado

2026-07-06

·

CVE-2026-56139

Nenhuma

Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do Software Vulnerável e Versões Afetadas Apache Camel versões 4.0.0 até 4.14.7 Apache Camel versões 4.15.0 até 4.18.2 Apache Camel versões 4.19.0 até 4.20.9
Description O consumidor do servidor HTTP camel-undertow apresenta um problema onde a opção muteException possui o valor padrão false. Quando esta opção é falsa, qualquer solicitação que provoque uma exceção durante o processamento da rota faz com que o consumidor escreva o rastreamento completo da pilha (stack trace) do Java Throwable no corpo da resposta HTTP como text/plain. Isso permite que clientes não autenticados obtenham informações internas sensíveis, como credenciais incorporadas, nomes de host internos, endereços IP, caminhos do sistema de arquivos, versões de dependências e nomes de bancos de dados. Além disso, para consumidores de Rest DSL, a opção muteException é ignorada porque o RestUndertowHttpBinding utiliza um valor false fixo, resultando no retorno do rastreamento da pilha independentemente da configuração.
Recommendations Atualizar as versões do Apache Camel 4.0.0 até 4.14.7 para a versão 4.14.8. Atualizar as versões do Apache Camel 4.15.0 até 4.18.2 para a versão 4.18.3. Atualizar as versões do Apache Camel 4.19.0 até 4.20.9 para a versão 4.21.0. Como mitigação temporária para consumidores que não sejam de Rest DSL, defina explicitamente muteException=true no consumidor camel-undertow ou globalmente através da propriedade camel.component.undertow.mute-exception=true.

Generation of Error Message Containing Sensitive Information

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-56139

Produtos afetados

Apache Camel