Krytyczna luka w Apache Camel-Mail umożliwiająca wstrzykiwanie nagłówków wiadomości

Krytyczna luka w Apache Camel-Mail pozwala na wstrzykiwanie nagłówków wiadomości. Zalecana natychmiastowa aktualizacja do wersji 4.19.0 lub nowszej.
CVE-2026-33454CVSS 9.4Mail

Krytyczna luka w Apache Camel-Mail umożliwiająca wstrzykiwanie nagłówków wiadomości

Krytyczna luka w Apache Camel-Mail pozwala na wstrzykiwanie nagłówków wiadomości. Zalecana natychmiastowa aktualizacja do wersji 4.19.0 lub nowszej.

CVSS
9.4 CRITICAL
EPSS
45.38%
Aktywnie wykorzystywana
brak w KEV
Produkt
camel

Co wiadomo

Komponent Camel-Mail w Apache Camel jest podatny na wstrzykiwanie nagłówków wiadomości Camel. Brak odpowiedniej filtracji nagłówków przy odbiorze poczty pozwala atakującemu na manipulację zachowaniem tras w aplikacji Camel poprzez wysłanie specjalnie spreparowanych e-maili.

Wpływ biznesowy

Luka umożliwia atakującemu, który może dostarczyć wiadomość do monitorowanej skrzynki pocztowej, wstrzyknięcie nagłówków wpływających na działanie komponentów Camel downstream, co może prowadzić do nieautoryzowanych działań lub zakłóceń w przetwarzaniu danych. Organizacje korzystające z podatnych wersji Apache Camel powinny potraktować tę lukę jako krytyczną i priorytetowo wdrożyć aktualizacje.

Rekomendowane działania administratora

Zaleca się niezwłoczne przejście na Apache Camel w wersji 4.19.0 lub nowszej. Użytkownicy wersji LTS 4.18.x powinni zaktualizować do 4.18.1, a użytkownicy 4.14.x do 4.14.6. W przypadku braku możliwości natychmiastowej aktualizacji, warto ograniczyć ekspozycję komponentu Camel-Mail, monitorować logi pod kątem podejrzanych nagłówków oraz przeprowadzić przegląd polityk bezpieczeństwa poczty.

Źródła