CVE-2026-40860: Критична вразливість десеріалізації в Apache Camel JMS
Критична вразливість десеріалізації в Apache Camel JMS дозволяє віддалене виконання коду. Оновіть Camel до версії 4.20.0 для захисту.
- CVSS
- 9.8 CRITICAL
- EPSS
- 54.71%
- Активно використовується
- немає в KEV
- Продукт
- camel
Що відомо
Вразливість у методі JmsBinding.extractBodyFromJms() в Apache Camel дозволяє зловмиснику виконати віддалений код через десеріалізацію шкідливих JMS ObjectMessage. Проблема виникає при увімкненій опції mapJmsMessage, що є налаштуванням за замовчуванням, і впливає на кілька компонентів Camel, включно з camel-jms, camel-sjms, camel-amqp та іншими.
Бізнес-вплив
Ця критична вразливість з оцінкою CVSS 9.8 може призвести до повного компрометації систем, що використовують уразливі версії Apache Camel для обробки JMS-повідомлень. Зловмисник може виконати довільний код на сервері, що створює серйозні ризики для безпеки інфраструктури та даних. Власникам систем слід терміново оцінити використання уразливих версій і вжити заходів для захисту.
Рекомендовані дії адміністратора
Рекомендується негайно оновити Apache Camel до версії 4.20.0 або новішої, яка містить виправлення. Для користувачів LTS-версій слід оновитися до 4.14.7 або 4.18.2 відповідно. Якщо оновлення наразі неможливе, слід обмежити доступ до JMS-черг і тем, переглянути журнали на предмет підозрілої активності та застосувати заходи з мінімізації ризиків, включаючи обмеження мережевого доступу.