CVE-2026-40453: Krytyczna luka w Apache Camel umożliwiająca zdalne wykonanie kodu

Krytyczna luka CVE-2026-40453 w Apache Camel umożliwia zdalne wykonanie kodu. Zalecana natychmiastowa aktualizacja do wersji 4.20.0 lub nowszej.
CVE-2026-40453CVSS 9.9Mail

CVE-2026-40453: Krytyczna luka w Apache Camel umożliwiająca zdalne wykonanie kodu

Krytyczna luka CVE-2026-40453 w Apache Camel umożliwia zdalne wykonanie kodu. Zalecana natychmiastowa aktualizacja do wersji 4.20.0 lub nowszej.

CVSS
9.9 CRITICAL
EPSS
54.06%
Aktywnie wykorzystywana
brak w KEV
Produkt
camel

Co wiadomo

W Apache Camel wykryto krytyczną lukę bezpieczeństwa (CVE-2026-40453) pozwalającą na zdalne wykonanie kodu i nieautoryzowane zapisywanie plików poprzez manipulację nagłówkami JMS. Luka dotyczy wersji od 3.0.0 do 4.14.6, 4.15.0 do 4.18.2 oraz 4.19.0 do 4.20.0 i wynika z nieprawidłowego filtrowania nagłówków o różnych wariantach wielkości liter.

Wpływ biznesowy

Atakujący z dostępem do producenta JMS może wstrzyknąć specjalnie spreparowane nagłówki, które zostaną przetworzone przez komponenty Apache Camel, co może prowadzić do wykonania złośliwego kodu lub zapisu plików na serwerze. Organizacje korzystające z podatnych wersji Apache Camel narażają się na poważne naruszenia bezpieczeństwa, w tym przejęcie kontroli nad infrastrukturą. Zaleca się szybkie podjęcie działań w celu ograniczenia ryzyka.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie Apache Camel do wersji 4.20.0 lub nowszej. Użytkownicy korzystający z linii LTS powinni przejść odpowiednio na wersje 4.14.6 lub 4.18.2. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do producentów JMS oraz monitorować logi pod kątem podejrzanych nagłówków i aktywności. Przegląd i weryfikacja konfiguracji komponentów przetwarzających nagłówki jest również wskazana.

Źródła