Krytyczna luka w Apache Camel camel-coap umożliwiająca zdalne wykonanie kodu

Krytyczna luka w Apache Camel camel-coap umożliwia zdalne wykonanie kodu przez wstrzyknięcie nagłówków CoAP. Zalecana szybka aktualizacja do wersji 4.18.1 lub 4.19.0.
CVE-2026-33453CVSS 10.0Mail

Krytyczna luka w Apache Camel camel-coap umożliwiająca zdalne wykonanie kodu

Krytyczna luka w Apache Camel camel-coap umożliwia zdalne wykonanie kodu przez wstrzyknięcie nagłówków CoAP. Zalecana szybka aktualizacja do wersji 4.18.1 lub 4.19.0.

CVSS
10.0 CRITICAL
EPSS
92.61%
Aktywnie wykorzystywana
brak w KEV
Produkt
camel

Co wiadomo

Komponent camel-coap w Apache Camel pozwala na wstrzyknięcie nagłówków wiadomości CoAP, co może prowadzić do zdalnego wykonania kodu. Luka umożliwia nieautoryzowanemu atakującemu wysłanie pojedynczego pakietu UDP i przejęcie kontroli nad procesem Camel.

Wpływ biznesowy

Luka o krytycznym poziomie CVSS 10.0 dotyczy komponentu camel-coap i umożliwia zdalne wykonanie dowolnych poleceń systemowych pod uprawnieniami procesu Camel. Atakujący może uzyskać interaktywny kanał RCE bez potrzeby dodatkowej eksfiltracji danych, co stanowi poważne zagrożenie dla bezpieczeństwa infrastruktury IT korzystającej z tego komponentu.

Rekomendowane działania administratora

Zaleca się niezwłoczne przejrzenie i wdrożenie dostępnych aktualizacji Apache Camel do wersji 4.18.1 lub 4.19.0, które eliminują tę lukę. W przypadku braku możliwości natychmiastowej aktualizacji, ogranicz ekspozycję usług CoAP, monitoruj logi pod kątem nietypowych zapytań UDP na porcie 5683 oraz rozważ wdrożenie dodatkowych mechanizmów kontroli ruchu sieciowego.

Źródła