製品・ソフトウェアに関する情報

JVN脆弱性詳細

Apache Software FoundationのApache Camelにおける信頼できないデータのデシリアライゼーションに関する脆弱性

タイトル	Apache Software FoundationのApache Camelにおける信頼できないデータのデシリアライゼーションに関する脆弱性
概要	Camel-PQC の FileBasedKeyLifecycleManager クラスは、設定されたキー・ディレクトリ内の `keyId.key` ファイルの内容を java.io.ObjectInputStream を使用してデシリアライズしますが、ObjectInputFilter やクラス・ロード制限が適用されていません。`readObject()` の呼び出しが完了した後に java.security.KeyPair へのキャストが評価されるため、デシリアライズされたオブジェクト内の `readObject()` の副作用は型チェックより先に実行されます。Camel アプリケーションが使用するキー・ディレクトリに書き込み可能な攻撃者は、パス・トラバーサル、誤設定されたファイルシステム権限、侵害されたキー・プロビジョニング・パイプライン、またはシンボリックリンク攻撃などを通じて、巧妙に作成された Java シリアライズ・オブジェクトを配置でき、それが通常のキー・ライフサイクル操作時にデシリアライズされることで、アプリケーションのコンテキストで任意のコードを実行する可能性があります。この問題は Apache Camel のバージョン 4.19.0 から 4.20.0 未満、及び 4.18.0 から 4.18.2 未満に影響します。ユーザーには、本問題を修正し、java.io.ObjectInputStream ベースのキーおよびメタデータのストレージを標準的な PKCS#8（秘密鍵）/ X.509 SubjectPublicKeyInfo（公開鍵）の Base64 JSON エンコーディングに置き換えたバージョン 4.20.0 へアップグレードすることを推奨します。4.18.x LTS リリースを使用しているユーザーは 4.18.2 にアップグレードしてください。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月27日0:00
登録日	2026年4月30日11:02
最終更新日	2026年4月30日11:02

CVSS3.0 : 重要
スコア	7.8
ベクター	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

Apache Software Foundation

Apache Camel 4.18.0 以上 4.18.2 未満

Apache Camel 4.19.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40048	https://www.cve.org/CVERecord?id=CVE-2026-40048
National Vulnerability Database (NVD)
2	CVE-2026-40048	https://nvd.nist.gov/vuln/detail/CVE-2026-40048

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-502	https://cwe.mitre.org/data/definitions/502.html

ベンダー情報

No	名前	URL
Apache Camel
1	Apache Camel Security Advisory - CVE-2026-40048 - Apache Camel	https://camel.apache.org/security/CVE-2026-40048.html
Openwall mailing list archives
2	oss-security - CVE-2026-40048: Apache Camel: Camel-PQC: Unsafe Deserialization from FileBasedKeyLifecycleManager	http://www.openwall.com/lists/oss-security/2026/04/26/6

変更履歴

No	変更内容	変更日
1	[2026年04月30日] 掲載	2026年4月30日11:02

NVD脆弱性情報

CVE-2026-40048

概要	The Camel-PQC FileBasedKeyLifecycleManager class deserializes the contents of `<keyId>.key` files in the configured key directory using java.io.ObjectInputStream without applying any ObjectInputFilter or class-loading restrictions. The cast to `java.security.KeyPair` is evaluated only after `readObject()` has already returned, so any `readObject()` side effects in the deserialized object run before the type check. An attacker who can write to the key directory used by a Camel application — for example through a path traversal into the directory, misconfigured filesystem permissions on the volume where keys are stored, a compromised key provisioning pipeline, or a symlink attack — can place a crafted serialized Java object that, when deserialized during normal key lifecycle operations, results in arbitrary code execution in the context of the application. This issue affects Apache Camel: from 4.19.0 before 4.20.0, from 4.18.0 before 4.18.2. Users are recommended to upgrade to version 4.20.0, which fixes the issue by replacing java.io.ObjectInputStream-based key and metadata storage with standard PKCS#8 (private key) / X.509 SubjectPublicKeyInfo (public key) Base64 JSON encoding. For users on the 4.18.x LTS releases stream, upgrade to 4.18.2.
公表日	2026年4月27日18:16
登録日	2026年4月28日4:07
最終更新日	2026年4月29日4:43

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:apache:camel::::::::	4.18.0			4.18.2
cpe:2.3:a:apache:camel:4.19.0:::::::*

No	URL	refsource	タグ
1	https://camel.apache.org/security/CVE-2026-40048.html	security@apache.org
2	http://www.openwall.com/lists/oss-security/2026/04/26/6	af854a3a-2127-422b-91ae-364da2661108