Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-33453 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-27 |
| Producent | Apache Software Foundation |
| Produkt | Apache Camel |
| CVSS Score | 10.0 (Krytyczny) |
| EPSS Score | 0.5% (percentyl: 68%) |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Podatność typu „Improperly Controlled Modification of Dynamically-Determined Object Attributes” w komponencie Apache Camel Camel-Coap.
Komponent camel-coap Apache Camel jest podatny na wstrzyknięcie nagłówków wiadomości Camel (Camel message header injection), co prowadzi do zdalnego wykonania kodu, gdy trasy (routes) przekazują żądania CoAP do producentów wrażliwych na nagłówki (np. camel-exec).
Komponent camel-coap mapuje przychodzące parametry zapytania URI z żądania CoAP bezpośrednio na nagłówki wiadomości w Camel Exchange In, nie stosując przy tym żadnej HeaderFilterStrategy. W rezultacie atakujący zdolny do wysłania żądania CoAP do podatnej trasy może wstrzyknąć nagłówki sterujące działaniem kolejnych komponentów i osiągnąć RCE.
Wymagane działania
Niezwłocznie zaktualizuj Apache Camel do wersji zawierającej poprawkę dla komponentu camel-coap (sprawdź biuletyn bezpieczeństwa Apache Camel). Do czasu aktualizacji wdroż HeaderFilterStrategy filtrującą nagłówki przychodzące w trasach z udziałem camel-coap, ogranicz dostęp sieciowy do endpointów CoAP wyłącznie do zaufanych klientów oraz przejrzyj trasy przekazujące dane do camel-exec lub innych producentów wrażliwych na nagłówki.
Kogo dotyczy?
Podatność dotyczy komponentu camel-coap Apache Camel dostarczanego przez Apache Software Foundation. Sprawdź czy Twoja organizacja wykorzystuje Apache Camel z komponentem camel-coap (integracje IoT/CoAP) i niezwłocznie zaktualizuj instalację.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
