CVE-2026-40048 in Camel
요약
\~에 의해 VulDB • 2026. 05. 12.
Camel-PQC의 FileBasedKeyLifecycleManager 클래스는 구성된 키 디렉터리의 `.key` 파일 내용을 java.io.ObjectInputStream을 사용하여 역직렬화하며, 이때 ObjectInputFilter나 클래스 로딩 제한을 적용하지 않습니다. `java.security.KeyPair`로의 캐스팅은 `readObject()`가 이미 반환한 후에만 평가되므로, 역직렬화된 객체 내의 `readObject()` 부수 효과는 타입 체크 전에 실행됩니다. Camel 애플리케이션이 사용하는 키 디렉터리에 작성할 수 있는 공격자(예: 디렉터리로의 경로 순회, 키가 저장된 볼륨의 잘못된 파일 시스템 권한, 침해된 키 프로비저닝 파이프라인, 또는 심볼릭 링크 공격을 통해)는 정상 키 수명 주기 작업 중 역직렬화될 때 애플리케이션 컨텍스트에서 임의 코드 실행을 초래하는 조작된 직렬화된 Java 객체를 배치할 수 있습니다.
이 문제는 Apache Camel에 영향을 미칩니다: 4.19.0 미만 4.20.0 버전 및 4.18.0 미만 4.18.2 버전.
사용자는 java.io.ObjectInputStream 기반 키 및 메타데이터 저장소를 표준 PKCS#8(개인 키) / X.509 SubjectPublicKeyInfo(공개 키) Base64 JSON 인코딩으로 대체하여 이 문제를 해결한 버전 4.20.0으로 업그레이드할 것을 권장합니다. 4.18.x LTS 릴리스 스트림을 사용하는 사용자는 4.18.2로 업그레이드해야 합니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.