| Title | Apache Software FoundationのApache Camelにおける信頼できないデータのデシリアライゼーションに関する脆弱性 |
|---|---|
| Summary | Camel-Mail コンポーネントには Camel メッセージヘッダーインジェクションの脆弱性があります。この脆弱性は、camel-mail が「in」方向のカスタムヘッダーフィルタリングを適切に行わないため、攻撃者が悪意のあるメールを送信すると、Camel 固有のヘッダーを注入して下流のコンポーネントの動作を変更できる可能性がある問題です。これにより、camel-bean や camel-exec、camel-sql などのコンポーネントで不正な動作が引き起こされる恐れがあります。この問題は Apache Camel の特定のバージョンに影響を与え、修正バージョンへのアップグレードを推奨します。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアの一部が停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 27, 2026, midnight |
| Registration Date | April 30, 2026, 11:03 a.m. |
| Last Update | April 30, 2026, 11:03 a.m. |
| CVSS3.0 : 緊急 | |
| Score | 9.4 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L |
| Apache Software Foundation |
| Apache Camel 3.0.0 以上 4.14.6 未満 |
| Apache Camel 4.15.0 以上 4.18.1 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
April 30, 2026, 11:03 a.m. |
| Summary | The Camel-Mail component is vulnerable to Camel message header injection. The custom header filter strategy used by the component (MailHeaderFilterStrategy) only filters the 'out' direction via setOutFilterStartsWith, while it does not configure the 'in' direction via setInFilterStartsWith. As a result, when a Camel application consumes mail through camel-mail (for example via from(\"imap://...\") or from(\"pop3://...\")) the inbound filter check is skipped and Camel-prefixed MIME headers are mapped unfiltered into the Exchange. An attacker who can deliver an email to a mailbox monitored by such a consumer can inject Camel-specific headers that, for some Camel components downstream of the mail consumer (such as camel-bean, camel-exec, or camel-sql), can alter the behaviour of the route. This is the same pattern that was previously addressed in camel-undertow (CVE-2025-30177) and the broader incoming-header filter (CVE-2025-27636 and CVE-2025-29891). This issue affects Apache Camel: from 3.0.0 before 4.14.6, from 4.15.0 before 4.18.1. Users are recommended to upgrade to version 4.19.0, which fixes the issue. If users are on the 4.18.x LTS releases stream, then they are suggested to upgrade to 4.18.1. If users are on the 4.14.x LTS releases stream, then they are suggested to upgrade to 4.14.6. |
|---|---|
| Publication Date | April 27, 2026, 7:16 p.m. |
| Registration Date | April 28, 2026, 4:07 a.m. |
| Last Update | April 29, 2026, 4:42 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 3.0.0 | 4.14.6 | |||
| cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 4.15.0 | 4.18.1 | |||