| Title | Apache Software FoundationのApache Camelにおける信頼できないデータのデシリアライゼーションに関する脆弱性 |
|---|---|
| Summary | camel-infinispanコンポーネントのProtoStreamベースのリモート集約リポジトリは、java.io.ObjectInputStreamを使用してリモートのInfinispanキャッシュから読み取ったデータをObjectInputFilterを適用せずに逆シリアル化します。Camelアプリケーションで使用されるInfinispanキャッシュに書き込みが可能な攻撃者は、細工されたシリアライズされたJavaオブジェクトを注入でき、通常の集約リポジトリ操作(getやrecoverなど)で読み込まれた場合、アプリケーションのコンテキストで任意のコードが実行されます。この問題はApache Camelの複数のバージョンに影響を及ぼし、ユーザーには修正されたバージョンへのアップグレードが推奨されます。詳細な情報はJIRAチケットの関連ページに記載されており、この脆弱性は過去に対処された類似の問題と同じカテゴリーに分類されます。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 27, 2026, midnight |
| Registration Date | April 30, 2026, 11:02 a.m. |
| Last Update | April 30, 2026, 11:02 a.m. |
| CVSS3.0 : 重要 | |
| Score | 8.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Apache Software Foundation |
| Apache Camel 4.0.0 以上 4.14.7 未満 |
| Apache Camel 4.15.0 以上 4.18.2 未満 |
| Apache Camel 4.19.0 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
April 30, 2026, 11:02 a.m. |
| Summary | The camel-infinispan component's ProtoStream-based remote aggregation repository deserializes data read from a remote Infinispan cache using java.io.ObjectInputStream without applying any ObjectInputFilter. An attacker who can write to the Infinispan cache used by a Camel application can inject a crafted serialized Java object that, when read during normal aggregation repository operations such as get or recover, results in arbitrary code execution in the context of the application. This issue affects Apache Camel: from 4.0.0 before 4.14.7, from 4.15.0 before 4.18.2, from 4.19.0 before 4.20.0. Users are recommended to upgrade to version 4.20.0, which fixes the issue. If users are on the 4.14.x LTS releases stream, then they are suggested to upgrade to 4.14.7. If users are on the 4.18.x releases stream, then they are suggested to upgrade to 4.18.2. The JIRA ticket: https://issues.apache.org/jira/browse/CAMEL-23322 refers to the various commits that resolved the issue, and have more details. This issue follows the same class of vulnerability previously addressed in CVE-2024-22369, CVE-2024-23114 and CVE-2026-25747. |
|---|---|
| Publication Date | April 27, 2026, 7:16 p.m. |
| Registration Date | April 28, 2026, 4:07 a.m. |
| Last Update | April 29, 2026, 4:41 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 4.0.0 | 4.14.7 | |||
| cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 4.15.0 | 4.18.2 | |||
| cpe:2.3:a:apache:camel:4.19.0:*:*:*:*:*:*:* | |||||