CVE-2026-40022 in Camelالمعلومات

الملخص

بحسب VulDB • 16/05/2026

عند تمكين المصادقة على خادم HTTP المدمج في Apache Camel أو خادم الإدارة المدمج (camel-platform-http-main) وتعيين مسار سياق غير جذري مثل /api أو /admin عبر camel.server.path أو camel.management.path، تستخرج فئتا BasicAuthenticationConfigurer و JWTAuthenticationConfigurer مسار المصادقة من properties.getPath() عندما لا يتم تعيين camel.server.authenticationPath / camel.management.authenticationPath بشكل صريح. وبدمج ذلك مع نموذج تركيب فرعي-الموجه (sub-router) في Vert.x - حيث يتم تركيب فرعي-الموجه عند _path_* ويتم تسجيل معالج المصادقة داخل فرعي-الموجه عند المسار المحلّل - يؤدي ذلك إلى مطابقة معالج المصادقة لمسار السياق المحدد بدقة فقط، وليس لمساراته الفرعية. وبالتالي، تصل الطلبات غير المصادقة إلى المسارات الفرعية مثل /api/_route_ أو /admin/observe/info إلى مسارات الأعمال المحمية ونقاط نهاية الإدارة دون طلب بيانات اعتماد. يمكن لنقطة النهاية /observe/info أن تكشف عن بيانات تعريفية وقت التشغيل مثل المستخدم، دليل العمل، الدليل الرئيسي، معرف العملية، معلومات JVM ونظام التشغيل.

تؤثر هذه المشكلة على Apache Camel: من الإصدار 4.14.1 قبل 4.14.6، ومن 4.18.0 قبل 4.18.2.

يُنصح المستخدمين بالترقية إلى الإصدار 4.20.0، الذي يصلح المشكلة. إذا كان المستخدمون على سلسلة إصدارات الدعم طويل الأمد 4.14.x، فيُنصح لهم بالترقية إلى 4.14.6. إذا كان المستخدمون على سلسلة إصدارات الدعم طويل الأمد 4.18.x، فيُنصح لهم بالترقية إلى 4.18.2.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

إفشاء

27/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-359770

CPE

جاهز

CWE

CWE-287 (مؤكد)

CVSS

7.3 (VulDB)

EPSS

0.00202

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40022
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40022
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40022/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!