| Title | Apache Software FoundationのApache Camelにおける信頼できないデータのデシリアライゼーションに関する脆弱性 |
|---|---|
| Summary | camel-minaコンポーネントのMinaConverter.toObjectInput(IoBuffer)型コンバーターは、IoBufferをjava.io.ObjectInputStreamでラップしますが、ObjectInputFilterやクラスロードの制限を適用しません。Camelルートがcamel-minaをTCPまたはUDPコンシューマとして使用し、ObjectInputへの変換を要求する場合(たとえばgetBody(ObjectInput.class)や@Body ObjectInput経由)、攻撃者が細工したシリアライズ済みJavaオブジェクトをネットワーク経由でMINAコンシューマポートに送信すると、readObject()の読み込み中にアプリケーションのコンテキストで任意のコードを実行される可能性があります。この問題はApache Camelのバージョン3.0.0から4.14.6未満、4.15.0から4.18.2未満、4.19.0から4.20.0未満に影響します。ユーザーはこの問題を修正したバージョン4.20.0にアップグレードすることを推奨します。4.14.x LTSリリースストリームを使用している場合は4.14.6にアップグレードすることが推奨され、4.18.xリリースストリームの場合は4.18.2にアップグレードすることが推奨されます。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 27, 2026, midnight |
| Registration Date | April 30, 2026, 11:02 a.m. |
| Last Update | April 30, 2026, 11:02 a.m. |
| CVSS3.0 : 重要 | |
| Score | 8.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Apache Software Foundation |
| Apache Camel 3.0.0 以上 4.14.6 未満 |
| Apache Camel 4.15.0 以上 4.18.2 未満 |
| Apache Camel 4.19.0 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
April 30, 2026, 11:02 a.m. |
| Summary | The camel-mina component's MinaConverter.toObjectInput(IoBuffer) type converter wraps an IoBuffer in a java.io.ObjectInputStream without applying any ObjectInputFilter or class-loading restrictions. When a Camel route uses camel-mina as a TCP or UDP consumer and requests conversion to ObjectInput (for example via getBody(ObjectInput.class) or @Body ObjectInput), an attacker sending a crafted serialized Java object over the network to the MINA consumer port can trigger arbitrary code execution in the context of the application during readObject(). This issue affects Apache Camel: from 3.0.0 before 4.14.6, from 4.15.0 before 4.18.2, from 4.19.0 before 4.20.0. Users are recommended to upgrade to version 4.20.0, which fixes the issue. If users are on the 4.14.x LTS releases stream, then they are suggested to upgrade to 4.14.6. If users are on the 4.18.x releases stream, then they are suggested to upgrade to 4.18.2. |
|---|---|
| Publication Date | April 27, 2026, 6:16 p.m. |
| Registration Date | April 28, 2026, 4:07 a.m. |
| Last Update | April 29, 2026, 4:43 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 3.0.0 | 4.14.6 | |||
| cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 4.15.0 | 4.18.2 | |||
| cpe:2.3:a:apache:camel:4.19.0:*:*:*:*:*:*:* | |||||