CVE-2026-33453 in Camel
要約
〜によって VulDB • 2026年05月12日
Apache CamelのCamel-Coapコンポーネントにおける、動的に決定されるオブジェクト属性の不適切な制御による変更の脆弱性。
Apache Camelのcamel-coapコンポーネントは、Camelメッセージヘッダーインジェクションに対して脆弱であり、ルーターがCoAPリクエストをヘッダーに敏感なプロデューサー(例:camel-exec)に転送すると、リモートコード実行(RCE)につながる。
camel-coapコンポーネントは、Incoming CoAPリクエストのURIクエリパラメータを、HeaderFilterStrategyを適用することなく、Camel ExchangeのInメッセージヘッダーに直接マッピングする。具体的には、CamelCoapResource.handleRequest()がOptionSet.getUriQuery()を反復処理し、各クエリパラメータに対してcamelExchange.getIn().setHeader(...)を呼び出す。CoAPEndpointはDefaultHeaderFilterStrategyEndpointではなくDefaultEndpointを拡張しており、CoAPComponentはHeaderFilterStrategyComponentを実装していない。このコンポーネントにはHeaderFilterStrategyへの参照が一切含まれていない。
その結果、coap://から消費するCamelルーターに対して単一のCoAP UDPパケットを送信できる認証不要の攻撃者は、Exchange内に任意のCamel内部ヘッダー(Camel*で始まるもの)をインジェクトできる。ルーターがメッセージをcamel-exec、camel-sql、camel-bean、camel-file、またはテンプレートコンポーネント(camel-freemarker、camel-velocity)などのヘッダーに敏感なプロデューサーに配信すると、インジェクトされたヘッダーがプロデューサーの動作を変更する可能性がある。camel-execの場合、CamelExecCommandExecutableおよびCamelExecCommandArgsヘッダーがエンドポイントに設定された実行可能ファイルと引数を上書きし、Camelプロセスの権限で任意のOSコマンドの実行を可能にする。
プロデューサーの出力はExchangeのボディに書き戻され、CamelCoapResourceによってCoAPレスポンスペイロードとして返されるため、攻撃者は外部への漏洩(out-of-band exfiltration)を必要とせずに、対話型のRCEチャネルを得ることができる。
攻撃に必要な前提条件は極めて少ない:CoAPポート(デフォルトは5683)への単一の認証不要UDPデータグラム。CoAP(RFC 7252)には組み込みの認証がなく、DTLSはオプションでありデフォルトで無効になっている。プロトコルがUDPベースであるため、HTTP層のWAF/IDS制御は適用されない。
この問題はApache Camelに影響を与える:4.14.0から4.14.5まで、4.18.0から4.18.1未満、および4.19.0。
ユーザーには、この問題を修正するバージョン4.18.1または4.19.0へのアップグレードが推奨される。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.