CVE-2026-40453: Критична вразливість Apache Camel, що дозволяє віддалене виконання коду
Критична вразливість Apache Camel CVE-2026-40453 дозволяє віддалене виконання коду через інжекцію заголовків JMS. Рекомендується оновлення до версії 4.20.0.
- CVSS
- 9.9 CRITICAL
- EPSS
- 54.06%
- Активно використовується
- немає в KEV
- Продукт
- camel
Що відомо
Вразливість у Apache Camel дозволяє зловмисникам з доступом JMS-виробника інжектувати внутрішні заголовки Camel з варіантами регістру, що призводить до віддаленого виконання коду та довільного запису файлів. Проблема виникає через неповне застосування фільтрації заголовків у деяких компонентах.
Бізнес-вплив
Ця критична вразливість (CVSS 9.9) може призвести до компрометації систем, що використовують Apache Camel для маршрутизації JMS-повідомлень, дозволяючи зловмисникам виконувати довільний код і змінювати файли на сервері. Це створює серйозні ризики для безпеки інфраструктури та може спричинити витік даних або порушення роботи сервісів.
Рекомендовані дії адміністратора
Адміністраторам рекомендується негайно оновити Apache Camel до версії 4.20.0 або відповідних патчів для LTS-версій (4.14.6 або 4.18.2). Якщо оновлення наразі неможливе, слід обмежити доступ JMS-виробників, переглянути журнали на ознаки експлуатації та мінімізувати експозицію вразливих компонентів.