| タイトル | Apache Software FoundationのApache Camelにおける信頼できないデータのデシリアライゼーションに関する脆弱性 |
|---|---|
| 概要 | Apache Camel PQCコンポーネントにおける信頼されていないデータのデシリアライズ脆弱性について説明します。camel-pqcコンポーネントは、プラガブルなKeyLifecycleManagerの実装を通じてポスト量子鍵メタデータ(KeyMetadata)を永続化しています。AwsSecretsManagerKeyLifecycleManager.deserializeMetadata()は、設定されたAWS Secrets ManagerのシークレットからそのメタデータをBase64デコードし、保存された値をjava.io.ObjectInputStream.readObject()でデシリアライズします。しかし、ObjectInputFilterやクラスの許可リストが存在せず、readObject()が返る前にKeyMetadataへのキャストは行われません。したがって、作成されたオブジェクトのreadObject()の副作用は型チェックより先に実行されます。このメタデータを保持するAWS Secrets Managerシークレットへの書き込み権限(対象シークレットに対するsecretsmanager:PutSecretValue)を持つ主体は、通常のキーライフサイクル操作中にデシリアライズされる細工されたシリアライズオブジェクトを保存でき、その結果、キー管理を行うアプリケーションのコンテキストでコードが実行される可能性があります。これは、CVE-2026-46590と同じ根本的欠陥に起因し、同じコードパスで発生しており、同じ修正によって対処されています。本CVEはHashiCorp Vaultおよびファイルベースの関連マネージャーも対象としており、両者ともCVE-2026-40048(CAMEL-23200)の不完全な修正に対する追補となっています。この問題はApache Camelのバージョン4.18.0以降4.18.3未満、4.19.0以降4.21.0未満に影響を与えます。ユーザーには、本問題を修正したバージョン4.21.0へのアップグレードを推奨します。また、4.18.xのLTSリリースシリーズを利用している場合は、4.18.3へのアップグレードが推奨されます。直ちにアップグレードできない環境では、camel-pqcの鍵メタデータを保持するAWS Secrets Managerのシークレットへの書き込みアクセスを、アプリケーション自身のIDのみがsecretsmanager:PutSecretValue権限を持つように制限し(最小権限のIAM設定を適用し)、PQC鍵素材を信頼度の低い主体が書き込み可能なデータから分離したシークレットに保管することが推奨されます。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年7月6日0:00 |
| 登録日 | 2026年7月9日10:59 |
| 最終更新日 | 2026年7月9日10:59 |
| CVSS3.0 : 緊急 | |
| スコア | 9.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Apache Software Foundation |
| Apache Camel 4.18.0 以上 4.18.3 未満 |
| Apache Camel 4.19.0 以上 4.21.0 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年07月09日] 掲載 |
2026年7月9日10:59 |
| 概要 | Deserialization of Untrusted Data vulnerability in Apache Camel PQC Component. The camel-pqc component persists post-quantum key metadata (KeyMetadata) through pluggable KeyLifecycleManager implementations. AwsSecretsManagerKeyLifecycleManager.deserializeMetadata() reads that metadata back from the configured AWS Secrets Manager secret by Base64-decoding the stored value and deserializing it with a raw java.io.ObjectInputStream.readObject() and no ObjectInputFilter or class allow-list; the cast to KeyMetadata happens only after readObject() returns, so any readObject() side effects in a crafted object run before the type check. A principal who can write to the AWS Secrets Manager secret that holds this metadata (requiring secretsmanager:PutSecretValue on that secret) could store a crafted serialized object that is deserialized during normal key-lifecycle operations, potentially leading to code execution in the context of the application that manages the keys. This is the same underlying defect, in the same code path and remediated by the same fix, as CVE-2026-46590, which was reported independently and additionally covers the HashiCorp Vault and file-based sibling managers; both are incomplete-remediation follow-ons to CVE-2026-40048 (CAMEL-23200). Users are recommended to upgrade to version 4.21.0, which fixes the issue. If users are on the 4.18.x LTS releases stream, then they are suggested to upgrade to 4.18.3. For deployments that cannot upgrade immediately, restrict write access to the AWS Secrets Manager secret that holds the camel-pqc key metadata so that only the application’s own identity holds secretsmanager:PutSecretValue on it (least-privilege IAM), and keep the PQC key material in a secret separate from any data that less-trusted principals can write. |
|---|---|
| 公表日 | 2026年7月6日18:16 |
| 登録日 | 2026年7月7日4:22 |
| 最終更新日 | 2026年7月8日8:33 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 4.18.0 | 4.18.3 | |||
| cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 4.19.0 | 4.21.0 | |||