CVE-2026-47323 in Camel
요약
\~에 의해 VulDB • 2026. 05. 19.
Camel-CXF 및 Camel-Knative의 메시지 헤더 인젝션: 누락된 인바운드 필터링
CXF 및 Knative HeaderFilterStrategy 구현체(camel-cxf-rest의 CxfRsHeaderFilterStrategy, camel-cxf-transport의 CxfHeaderFilterStrategy, camel-knative-http의 KnativeHttpHeaderFilterStrategy)는 setOutFilterStartsWith를 통해 아웃바운드 Camel 내부 헤더만 필터링하고, setInFilterStartsWith를 통해 인바운드 필터링을 구성하지 않습니다. 그 결과, 인증되지 않은 공격자가 CXF-RS 또는 CXF-SOAP 엔드포인트로 HTTP 요청을 통해 Camel 내부 헤더(예: CamelExecCommandExecutable, CamelFileName)를 인젝션할 수 있습니다. 라우트가 이러한 엔드포인트에서 camel-exec 또는 camel-file과 같은 헤더 기반 컴포넌트로 메시지를 전달할 때, 인젝션된 헤더가 구성된 값을 덮어쓰게 되어 원격 코드 실행(RCE)이나 임의의 파일 쓰기가 가능해집니다. 이는 이전에 camel-undertow(CVE-2025-30177), 광범위한 인커밍 헤더 필터(CVE-2025-27636 및 CVE-2025-29891), 그리고 비-HTTP 전략(CVE-2026-40453)에서 해결된 것과 동일한 패턴입니다.
이 문제는 Apache Camel의 다음 버전에서 영향을 받습니다: 3.18.0 이상 4.14.6 미만, 4.15.0 이상 4.18.2 미만.
사용자는 이 문제를 수정한 버전 4.19.0으로 업그레이드하는 것이 권장됩니다. 사용자가 4.18.x LTS 릴리스 스트림에 있는 경우 4.18.2로 업그레이드하는 것이 제안됩니다. 사용자가 4.14.x LTS 릴리스 스트림에 있는 경우 4.14.6로 업그레이드하는 것이 제안됩니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.