CVE-2026-40453: Krytyczna luka w Apache Camel umożliwiająca zdalne wykonanie kodu
Krytyczna luka CVE-2026-40453 w Apache Camel umożliwia zdalne wykonanie kodu. Zalecana natychmiastowa aktualizacja do wersji 4.20.0 lub nowszej.
- CVSS
- 9.9 CRITICAL
- EPSS
- 54.06%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- camel
Co wiadomo
W Apache Camel wykryto krytyczną lukę bezpieczeństwa (CVE-2026-40453) pozwalającą na zdalne wykonanie kodu i nieautoryzowane zapisywanie plików poprzez manipulację nagłówkami JMS. Luka dotyczy wersji od 3.0.0 do 4.14.6, 4.15.0 do 4.18.2 oraz 4.19.0 do 4.20.0 i wynika z nieprawidłowego filtrowania nagłówków o różnych wariantach wielkości liter.
Wpływ biznesowy
Atakujący z dostępem do producenta JMS może wstrzyknąć specjalnie spreparowane nagłówki, które zostaną przetworzone przez komponenty Apache Camel, co może prowadzić do wykonania złośliwego kodu lub zapisu plików na serwerze. Organizacje korzystające z podatnych wersji Apache Camel narażają się na poważne naruszenia bezpieczeństwa, w tym przejęcie kontroli nad infrastrukturą. Zaleca się szybkie podjęcie działań w celu ograniczenia ryzyka.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Apache Camel do wersji 4.20.0 lub nowszej. Użytkownicy korzystający z linii LTS powinni przejść odpowiednio na wersje 4.14.6 lub 4.18.2. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do producentów JMS oraz monitorować logi pod kątem podejrzanych nagłówków i aktywności. Przegląd i weryfikacja konfiguracji komponentów przetwarzających nagłówki jest również wskazana.