製品・ソフトウェアに関する情報

JVN脆弱性詳細

Apache Software FoundationのApache Camelにおける信頼できないデータのデシリアライゼーションに関する脆弱性

タイトル	Apache Software FoundationのApache Camelにおける信頼できないデータのデシリアライゼーションに関する脆弱性
概要	camel-infinispanコンポーネントのProtoStreamベースのリモート集約リポジトリは、java.io.ObjectInputStreamを使用してリモートのInfinispanキャッシュから読み取ったデータをObjectInputFilterを適用せずに逆シリアル化します。Camelアプリケーションで使用されるInfinispanキャッシュに書き込みが可能な攻撃者は、細工されたシリアライズされたJavaオブジェクトを注入でき、通常の集約リポジトリ操作（getやrecoverなど）で読み込まれた場合、アプリケーションのコンテキストで任意のコードが実行されます。この問題はApache Camelの複数のバージョンに影響を及ぼし、ユーザーには修正されたバージョンへのアップグレードが推奨されます。詳細な情報はJIRAチケットの関連ページに記載されており、この脆弱性は過去に対処された類似の問題と同じカテゴリーに分類されます。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月27日0:00
登録日	2026年4月30日11:02
最終更新日	2026年4月30日11:02

CVSS3.0 : 重要
スコア	8.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

Apache Software Foundation

Apache Camel 4.0.0 以上 4.14.7 未満

Apache Camel 4.15.0 以上 4.18.2 未満

Apache Camel 4.19.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40858	https://www.cve.org/CVERecord?id=CVE-2026-40858
National Vulnerability Database (NVD)
2	CVE-2026-40858	https://nvd.nist.gov/vuln/detail/CVE-2026-40858

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-502	https://cwe.mitre.org/data/definitions/502.html

ベンダー情報

No	名前	URL
Apache Camel
1	Apache Camel Security Advisory - CVE-2026-40858 - Apache Camel	https://camel.apache.org/security/CVE-2026-40858.html

変更履歴

No	変更内容	変更日
1	[2026年04月30日] 掲載	2026年4月30日11:02

NVD脆弱性情報

CVE-2026-40858

概要	The camel-infinispan component's ProtoStream-based remote aggregation repository deserializes data read from a remote Infinispan cache using java.io.ObjectInputStream without applying any ObjectInputFilter. An attacker who can write to the Infinispan cache used by a Camel application can inject a crafted serialized Java object that, when read during normal aggregation repository operations such as get or recover, results in arbitrary code execution in the context of the application. This issue affects Apache Camel: from 4.0.0 before 4.14.7, from 4.15.0 before 4.18.2, from 4.19.0 before 4.20.0. Users are recommended to upgrade to version 4.20.0, which fixes the issue. If users are on the 4.14.x LTS releases stream, then they are suggested to upgrade to 4.14.7. If users are on the 4.18.x releases stream, then they are suggested to upgrade to 4.18.2. The JIRA ticket: https://issues.apache.org/jira/browse/CAMEL-23322 refers to the various commits that resolved the issue, and have more details. This issue follows the same class of vulnerability previously addressed in CVE-2024-22369, CVE-2024-23114 and CVE-2026-25747.
公表日	2026年4月27日19:16
登録日	2026年4月28日4:07
最終更新日	2026年4月29日4:41

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:apache:camel::::::::	4.0.0			4.14.7
cpe:2.3:a:apache:camel::::::::	4.15.0			4.18.2
cpe:2.3:a:apache:camel:4.19.0:::::::*