CVE-2026-49099 in Camel
Zusammenfassung
von VulDB • 06.07.2026
Unzulässige Behandlung spezieller Elemente in der Ausgabe für eine nachgelagerte Komponente („Injection"), Umgehung der Autorisierung über benutzerkontrollierte Schlüssel-Schwachstelle in der Apache Camel Salesforce-Komponente.
Der camel-salesforce-Producer ermittelt seine Operationsparameter – die SOQL-Abfrage, die SOSL-Suche, den Zielnamen und die ID des SObject sowie die Apex REST-URL und -Methode und die Apex-Abfrageparameter – aus Exchange-Nachrichtenheadern (AbstractSalesforceProcessor.getParameter() liest zuerst den Header und verwendet die Endpunktkonfiguration nur als Fallback). Die Control-Header-Konstanten in SalesforceEndpointConfig (z. B. SOBJECT_QUERY = sObjectQuery, SOBJECT_SEARCH = sObjectSearch, SOBJECT_NAME = sObjectName, SOBJECT_ID = sObjectId, APEX_URL = apexUrl, APEX_METHOD = apexMethod und das Präfix apexQueryParam.) verwendeten einfache Werte ohne Camel-Präfix. Da diese Namen nicht mit dem Camel-/camel-Präfix beginnen, ließ HttpHeaderFilterStrategy – welches nur den Camel-Header-Namespace an der HTTP-Grenze blockiert – sie von einer eingehenden HTTP-Anfrage direkt in die Exchange-Datenstruktur durch. In einer Route, die einen HTTP-Konsumenten (z. B. platform-http) mit einem salesforce:-Producer verbindet, konnte daher jeder HTTP-Client diese Header festlegen und die Absicht der Route überschreiben – indem er seine eigene SOQL-Abfrage oder SOSL-Suche bereitstellte, um Daten aus jedem SObject zu lesen, auf das der verbundene Salesforce-Benutzer Zugriff hat; den Zielnamen und die ID des SObject für CRUD-Vorgänge zu überschreiben; oder einen Apex REST-Aufruf unter Verwendung injizierter Abfrageparameter an ein anderes Endpunkt-URL und eine andere HTTP-Methode (einschließlich destruktiver Methoden) umzuleiten. Alle diese Vorgänge werden mit den vollständigen Berechtigungen des verbundenen Salesforce-(Integrations-)Benutzers ausgeführt, die in der Regel weitreichend sind. Wenn der verbindende Konsument nicht authentifiziert ist, benötigt der Angreifer keine Anmeldeinformationen.
Dieses Problem betrifft Apache Camel: ab Version 4.0.0 vor 4.14.8, ab 4.15.0 vor 4.18.3 und ab 4.19.0 vor 4.21.0.
Benutzern wird empfohlen, auf die Version 4.21.0 zu aktualisieren, welche das Problem behebt. Wenn Benutzer den LTS-Verzweigungspfad 4.14.x verwenden, wird ein Upgrade auf 4.14.8 vorgeschlagen. Befinden sich Benutzer im Release-Pfad 4.18.x, so wird ein Upgrade auf 4.18.3 empfohlen. Nach dem Upgrade müssen Routes, die Salesforce-Operationsparameter über die rohen Header-Namen festlegen, stattdessen die CamelSalesforce*-Namen (z. B. CamelSalesforceSObjectQuery und CamelSalesforceApexUrl) anstelle der alten sObject*-/apex*-Werte verwenden; die Schreibweise der Endpunktoptionen bleibt unverändert. Für Bereitstellungen, die nicht sofort aktualisiert werden können, sollten die Salesforce-Control-Header aus jedem nicht vertrauenswürdigen Eingangsverkehr vor dem salesforce:-Producer entfernt werden (z. B. removeHeaders('sObject*') und removeHeaders('apex*') am Anfang der Route), und die Parameter für Abfrage, SObject und Apex müssen von einer vertrauenswürdigen Quelle festgelegt werden.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.