Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-40860 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-27 |
| Producent | Apache Software Foundation |
| Produkt | Apache Camel |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | 0.3% (percentyl: 53%) |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Metoda
JmsBinding.extractBodyFromJms()w komponencie camel-jms oraz analogiczna klasa JmsBinding w camel-sjms deserializują payload przychodzących wiadomości JMS ObjectMessage przez wywołaniejavax.jms.ObjectMessage.getObject()bez stosowania jakiegokolwiek ObjectInputFilter ani allowlist/denylist klas. Ponieważ ta ścieżka kodu jest osiągana zawsze, gdy włączona jest opcjamapJmsMessage(domyślnie aktywna) i Camel działa jako konsument JMS, atakujący zdolny do opublikowania spreparowanej ObjectMessage w kolejce lub temacie odczytywanym przez aplikację Camel może doprowadzić do wykonania zdalnego kodu (RCE) przez deserializację złośliwego obiektu Java.
Wymagane działania
Niezwłocznie zaktualizuj Apache Camel do wersji zawierającej poprawkę. Do czasu wdrożenia patcha rozważ wyłączenie opcji mapJmsMessage (jeśli aplikacja na to pozwala) lub ograniczenie dostępu do brokerów JMS wyłącznie dla zaufanych nadawców. Wprowadź ObjectInputFilter na poziomie JVM lub klasy aplikacji, aby ograniczyć zbiór klas deserializowanych z JMS. Przejrzyj logi pod kątem nietypowych ObjectMessage z nieoczekiwanych źródeł.
Kogo dotyczy?
Podatność dotyczy produktu Apache Camel dostarczanego przez Apache Software Foundation. Sprawdź czy Twoja organizacja korzysta z Apache Camel jako konsumenta JMS (camel-jms lub camel-sjms) i niezwłocznie zaktualizuj instalację do wersji zawierającej poprawkę bezpieczeństwa.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
