CVE-2026-40860: Критична вразливість десеріалізації в Apache Camel JMS

Критична вразливість десеріалізації в Apache Camel JMS дозволяє віддалене виконання коду. Оновіть Camel до версії 4.20.0 для захисту.
CVE-2026-40860CVSS 9.8Web

CVE-2026-40860: Критична вразливість десеріалізації в Apache Camel JMS

Критична вразливість десеріалізації в Apache Camel JMS дозволяє віддалене виконання коду. Оновіть Camel до версії 4.20.0 для захисту.

CVSS
9.8 CRITICAL
EPSS
54.71%
Активно використовується
немає в KEV
Продукт
camel

Що відомо

Вразливість у методі JmsBinding.extractBodyFromJms() в Apache Camel дозволяє зловмиснику виконати віддалений код через десеріалізацію шкідливих JMS ObjectMessage. Проблема виникає при увімкненій опції mapJmsMessage, що є налаштуванням за замовчуванням, і впливає на кілька компонентів Camel, включно з camel-jms, camel-sjms, camel-amqp та іншими.

Бізнес-вплив

Ця критична вразливість з оцінкою CVSS 9.8 може призвести до повного компрометації систем, що використовують уразливі версії Apache Camel для обробки JMS-повідомлень. Зловмисник може виконати довільний код на сервері, що створює серйозні ризики для безпеки інфраструктури та даних. Власникам систем слід терміново оцінити використання уразливих версій і вжити заходів для захисту.

Рекомендовані дії адміністратора

Рекомендується негайно оновити Apache Camel до версії 4.20.0 або новішої, яка містить виправлення. Для користувачів LTS-версій слід оновитися до 4.14.7 або 4.18.2 відповідно. Якщо оновлення наразі неможливе, слід обмежити доступ до JMS-черг і тем, переглянути журнали на предмет підозрілої активності та застосувати заходи з мінімізації ризиків, включаючи обмеження мережевого доступу.

Джерела