Krytyczna luka w Apache Camel umożliwiająca zdalne wykonanie kodu przez deserializację JMS
Krytyczna luka w Apache Camel pozwala na zdalne wykonanie kodu przez deserializację wiadomości JMS. Zalecana natychmiastowa aktualizacja do wersji 4.20.0.
- CVSS
- 9.8 CRITICAL
- EPSS
- 54.71%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- camel
Co wiadomo
W Apache Camel wykryto krytyczną lukę (CVE-2026-40860) w mechanizmie deserializacji wiadomości JMS, która pozwala na zdalne wykonanie kodu. Luka dotyczy wersji od 3.0.0 do przed 4.14.7, 4.15.0 do przed 4.18.2 oraz 4.19.0 do przed 4.20.0 i jest aktywna, gdy włączona jest opcja mapJmsMessage.
Wpływ biznesowy
Luka umożliwia atakującemu przesłanie spreparowanej wiadomości JMS, co może prowadzić do wykonania złośliwego kodu na serwerze obsługującym Apache Camel. Może to skutkować przejęciem kontroli nad infrastrukturą, wyciekiem danych lub zakłóceniem działania usług. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo wdrożyć odpowiednie aktualizacje.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Apache Camel do wersji 4.20.0 lub wyższej. Użytkownicy korzystający z linii LTS powinni przejść na wersję 4.14.7 lub 4.18.2 odpowiednio do swojej gałęzi. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć ekspozycję usług JMS, monitorować logi pod kątem podejrzanej aktywności oraz przeglądać konfigurację deserializacji.