CVE-2026-33454: Уразливість ін'єкції заголовків у компоненті Apache Camel-Mail

Критична уразливість в Apache Camel-Mail дозволяє ін'єкцію заголовків. Рекомендується оновлення до версії 4.19.0 для захисту систем.
CVE-2026-33454CVSS 9.4Mail

CVE-2026-33454: Уразливість ін'єкції заголовків у компоненті Apache Camel-Mail

Критична уразливість в Apache Camel-Mail дозволяє ін'єкцію заголовків. Рекомендується оновлення до версії 4.19.0 для захисту систем.

CVSS
9.4 CRITICAL
EPSS
45.38%
Активно використовується
немає в KEV
Продукт
camel

Що відомо

Компонент Apache Camel-Mail має критичну уразливість, що дозволяє ін'єкцію заголовків повідомлень через пропуск фільтрації вхідних заголовків. Зловмисник, надіславши спеціально сформований лист, може змінити поведінку маршруту Camel, що може призвести до небажаних наслідків.

Бізнес-вплив

Ця уразливість може дозволити атакуючому впливати на логіку обробки пошти в системах, що використовують Apache Camel-Mail, потенційно порушуючи роботу бізнес-процесів або викликаючи виконання небажаних дій. Враховуючи високий рівень критичності (CVSS 9.4), власникам інфраструктури слід терміново оцінити ризики та вжити заходів для захисту.

Рекомендовані дії адміністратора

Рекомендується оновити Apache Camel до версії 4.19.0 або, якщо використовується LTS-версія 4.18.x, оновитися до 4.18.1, а для 4.14.x — до 4.14.6. Якщо негайне оновлення неможливе, слід обмежити доступ до поштових скриньок, що обробляються Camel-Mail, перевірити журнали на ознаки експлуатації та застосувати додаткові фільтри для вхідних заголовків.

Джерела