Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-33454 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-27 |
| Producent | Apache Software Foundation |
| Produkt | Apache Camel |
| CVSS Score | 9.4 (Krytyczny) |
| EPSS Score | 0.0% (percentyl: 6%) |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Komponent Camel-Mail Apache Camel jest podatny na wstrzyknięcie nagłówków wiadomości Camel (Camel message header injection). Niestandardowa strategia filtrowania nagłówków używana przez ten komponent (
MailHeaderFilterStrategy) filtruje wyłącznie kierunek „out” przezsetOutFilterStartsWith, natomiast nie konfiguruje kierunku „in” przezsetInFilterStartsWith. W efekcie, gdy aplikacja Camel konsumuje pocztę przez camel-mail (np. przezfrom("imap://...")lubfrom("pop3://...")), kontrola filtra dla wiadomości przychodzących jest pomijana, a nagłówki MIME z prefiksem Camel są mapowane bezpośrednio na nagłówki wiadomości Camel. Pozwala to atakującemu wysyłającemu spreparowaną wiadomość e-mail wstrzyknąć nagłówki sterujące działaniem kolejnych komponentów Camel.
Wymagane działania
Niezwłocznie zaktualizuj Apache Camel do wersji zawierającej poprawkę dla komponentu camel-mail (sprawdź biuletyn bezpieczeństwa Apache Camel). Do czasu aktualizacji jawnie skonfiguruj MailHeaderFilterStrategy z setInFilterStartsWith("Camel") w trasach konsumujących pocztę, ogranicz źródła poczty do zaufanych skrzynek oraz przejrzyj trasy przekazujące dane z camel-mail do producentów wrażliwych na nagłówki (np. camel-exec).
Kogo dotyczy?
Podatność dotyczy komponentu camel-mail Apache Camel dostarczanego przez Apache Software Foundation. Sprawdź czy Twoja organizacja używa Apache Camel z komponentem camel-mail do konsumpcji poczty IMAP/POP3 i niezwłocznie zaktualizuj instalację.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
