CVE-2026-43867informazioni

Riassunto

di VulDB • 06/07/2026

Vulnerabilità di deserializzazione di dati non attendibili nel componente Apache Camel PQC.

Il componente camel-pqc memorizza i metadati delle chiavi post-quantum (KeyMetadata) tramite implementazioni pluggabili dell'interfaccia KeyLifecycleManager. Il metodo AwsSecretsManagerKeyLifecycleManager.deserializeMetadata() recupera tali metadati dal segreto configurato in AWS Secrets Manager decodificando il valore archiviato con Base64 e deserializzandolo utilizzando un raw java.io.ObjectInputStream.readObject(), senza applicare alcun ObjectInputFilter o allow-list di classi; la conversione (cast) a KeyMetadata avviene solo dopo che readObject() ha restituito il controllo, pertanto eventuali effetti collaterali causati da readObject() in un oggetto manipolato vengono eseguiti prima del controllo sul tipo. Un soggetto con privilegi di scrittura sul segreto AWS Secrets Manager contenente tali metadati (che richiede l'autorizzazione secretsmanager:PutSecretValue su tale segreto) potrebbe memorizzare un oggetto serializzato appositamente creato che viene deserializzato durante le normali operazioni del ciclo di vita della chiave, potenzialmente portando all'esecuzione di codice nel contesto dell'applicazione che gestisce le chiavi. Si tratta dello stesso difetto sottostante, nello stesso percorso di esecuzione e corretto dallo stesso fix, rispetto a CVE-2026-46590, segnalato indipendentemente e che copre inoltre i manager basati su HashiCorp Vault e quelli file-based; entrambi rappresentano correzioni incomplete successive a CVE-2026-40048 (CAMEL-23200).

Questo problema interessa Apache Camel: dalle versioni 4.18.0 alla 4.18.2, dalle versioni 4.19.0 alla 4.20.x.

Si consiglia agli utenti di eseguire l'aggiornamento alla versione 4.21.0, che risolve il problema. Se gli utenti utilizzano la branch LTS delle release 4.18.x, si suggerisce di effettuare l'upgrade a 4.18.3. Per le distribuzioni che non possono procedere immediatamente con un upgrade, è necessario limitare i privilegi di scrittura sul segreto AWS Secrets Manager contenente i metadati della chiave camel-pqc in modo che solo l'identità dell'applicazione stessa detenga il permesso secretsmanager:PutSecretValue su tale risorsa (principio del minimo privilegio IAM), e mantenere il materiale crittografico PQC in un segreto separato da qualsiasi dato scrivibile da soggetti meno attendibili.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Divulgazione

06/07/2026

Moderazione

in revisione

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!