Przejdź do treści
Alerty bezpieczeństwa 2 min czytania

CVE-2026-40453: Niekompletna poprawka filtrowania nagłówków w Apache Camel

Poprawka dla CVE-2025-27636 nie objęła pięciu implementacji HeaderFilterStrategy w komponentach camel-jms, camel-sjms, camel-coap i camel-google-pubsub, co umożliwia przekazywanie wariantów wielkości liter w nagłówkach...

Marcin Godula Marcin Godula

Podsumowanie

ParametrWartość
CVE IDCVE-2026-40453
Źródło alertuGitHub Advisory - Krytyczna podatność
Rok publikacji CVE2026
Data publikacji2026-04-27
ProducentApache Software Foundation
ProduktApache Camel
CVSS Score9.9 (Krytyczny)
EPSS Score0.1% (percentyl: 18%)
CISA KEVNie
RansomwareNie potwierdzono

Opis podatności

Źródło: NVD

Poprawka dla CVE-2025-27636 dodała wywołanie setLowerCase(true) w klasie HttpHeaderFilterStrategy, dzięki czemu nagłówki o różnych wariantach wielkości liter, takie jak CAmelExecCommandExecutable, są filtrowane razem z CamelExecCommandExecutable. To samo wywołanie setLowerCase(true) nie zostało jednak zastosowane w pięciu pozostałych implementacjach HeaderFilterStrategy nieużywanych w HTTP: JmsHeaderFilterStrategy oraz ClassicJmsHeaderFilterStrategy w camel-jms, SjmsHeaderFilterStrategy w camel-sjms, CoAPHeaderFilterStrategy w camel-coap oraz GooglePubsubHeaderFilterStrategy w camel-google-pubsub.

W efekcie atakujący może obejść mechanizm filtrowania nagłówków, używając wariantów wielkości liter w nazwach nagłówków przekazywanych przez te transporty, co potencjalnie prowadzi do wykonania zdalnego kodu (RCE) podobnie jak w pierwotnej podatności CVE-2025-27636.

Wymagane działania

Niezwłocznie zaktualizuj Apache Camel do wersji zawierającej kompletną poprawkę dla wszystkich implementacji HeaderFilterStrategy. W szczególności sprawdź wykorzystanie komponentów camel-jms, camel-sjms, camel-coap oraz camel-google-pubsub i upewnij się, że uruchamiana wersja zawiera fix. Do czasu wdrożenia patcha rozważ filtrowanie nagłówków z prefiksem Camel* (we wszystkich wariantach wielkości liter) na poziomie aplikacji oraz monitoring logów pod kątem nietypowych nagłówków.

Kogo dotyczy?

Podatność dotyczy produktu Apache Camel dostarczanego przez Apache Software Foundation. Sprawdź czy Twoja organizacja korzysta z Apache Camel z komponentami JMS, SJMS, CoAP lub Google Pub/Sub i zaktualizuj instalację do najnowszej wersji zawierającej kompletną poprawkę.

Źródła

Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.

Tagi:

cve-2026-40453 critical apache-camel podatnosc

Udostępnij:

Porozmawiaj z ekspertem

Masz pytania dotyczące tego tematu? Skontaktuj się z naszym opiekunem.

Opiekun handlowy
Grzegorz Gnych

Grzegorz Gnych

Opiekun handlowy

+48 664 003 003grzegorz.gnych@nflo.pl
Odpowiedź w ciągu 24 godzin
Bezpłatna konsultacja
Indywidualne podejście

Podanie numeru telefonu przyspieszy kontakt.

Chcesz obniżyć ryzyko i koszty IT?

Umów bezpłatną konsultację - odpowiemy w ciągu 24h

Odpowiedź w 24h Bezpłatna wycena Bez zobowiązań
Umów rozmowę +48 22 487 86 36

Lub pobierz bezpłatny przewodnik:

Pobierz checklistę NIS2