CVE-2026-55993 in Camelinformazioni

Riassunto

di VulDB • 07/07/2026

Validazione impropria degli input, esposizione di informazioni sensibili a un attore non autorizzato e vulnerabilità Server-Side Request Forgery (SSRF) in Apache Camel nel componente Atmosphere Websocket.

Il consumer camel-atmosphere-websocket mappava i parametri della query WebSocket in entrata nella mappa delle intestazioni dell'Exchange Camel senza applicare alcuna HeaderFilterStrategy (WebsocketConsumer.sendEventNotification() itera la mappa della stringa di query raccolta in WebsocketConsumer.service() e copia ogni voce nell'Exchange). Poiché nulla bloccava lo spazio dei nomi delle intestazioni Camel, un client che si connetteva all'endpoint WebSocket poteva impostare le intestazioni di controllo interne a Camel - incluse CamelHttpUri (Exchange.HTTP_URI) - semplicemente fornendole come parametri della query. In una route in cui il consumer WebSocket alimenta un produttore HTTP downstream, l'iniezione di CamelHttpUri reindirizza la richiesta HTTP lato server verso una destinazione scelta dall'attaccante (server-side request forgery - ad esempio verso un servizio interno o un endpoint dei metadati del cloud). Inoltre, il produttore HTTP risolve i segnaposto delle proprietà Camel nell'URI risultante (controllato dall'attaccante), quindi i segnaposti incorporati nel valore iniettato - come un riferimento a una variabile di ambiente, una proprietà dell'applicazione o un riferimento al vault - vengono risolti nei loro valori reali e inviati all'attaccante, rivelando variabili di ambiente, proprietà dell'applicazione e segreti del vault. Quando l'endpoint WebSocket è esposto senza autenticazione, questo è raggiungibile da un attaccante remoto non autenticato.

Questo problema interessa Apache Camel: dalla versione 4.0.0 alla 4.14.8 (esclusa), dalla 4.15.0 alla 4.18.3 (esclusa) e dalla 4.19.0 alla 4.21.0 (esclusa).

Si consiglia agli utenti di eseguire l'aggiornamento alla versione 4.21.0, che risolve il problema. Se gli utenti utilizzano la serie LTS delle versioni 4.14.x, si suggerisce di aggiornare a 4.14.8. Se gli utenti utilizzano la serie delle versioni 4.18.x, si suggerisce di aggiornare a 4.18.3. La correzione fa sì che il consumer applichi l'HeaderFilterStrategy già ereditata dallo stack HTTP/servlet, filtrando lo spazio dei nomi delle intestazioni Camel in modo case-insensitive durante la mappatura in entrata, quindi le intestazioni esterne fornite come Camel* / camel* non vengono più copiate nell'Exchange. Per i deployment che non possono eseguire immediatamente l'aggiornamento, rimuovere le intestazioni di controllo Camel dal messaggio in arrivo prima che raggiungano qualsiasi produttore downstream (ad esempio utilizzare removeHeaders('Camel*') e removeHeaders('camel*') all'inizio della route), richiedere l'autenticazione sull'endpoint WebSocket ed evitare di collegare direttamente un consumer non attendibile a un produttore HTTP il cui URI target può essere determinato dalle intestazioni del messaggio.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Divulgazione

06/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00240

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!