| Title | Apache Software FoundationのApache Camelにおける信頼できないデータのデシリアライゼーションに関する脆弱性 |
|---|---|
| Summary | camel-jms の JmsBinding.extractBodyFromJms() および camel-sjms の同等の JmsBinding クラスは、javax.jms.ObjectMessage.getObject() を介して受信した JMS ObjectMessage のペイロードをデシリアライズする際に、ObjectInputFilter やクラスの許可リスト・拒否リストを適用していませんでした。このコードパスは mapJmsMessage オプションが有効(デフォルト設定)で Camel が JMS コンシューマとして動作する場合に常に到達します。そのため、悪意のある ObjectMessage を Camel アプリケーションが消費するキューやトピックに送信できる攻撃者は、クラスパスにデシリアライズガジェットチェーンが存在する場合、リモートコード実行を達成する可能性がありました。同様の処理は、camel-sjms2(Sjms2Endpoint が SjmsEndpoint を拡張)、camel-amqp(AMQPJmsBinding が JmsBinding を拡張)、および JmsComponent 上に構築された他の JMS ファミリーコンポーネント(camel-activemq、camel-activemq6)を通じても間接的に達成されました。この問題は Apache Camel のバージョン 3.0.0 から 4.14.7 より前、4.15.0 から 4.18.2 より前、4.19.0 から 4.20.0 より前に影響します。ユーザーはこの問題を修正したバージョン 4.20.0 へアップグレードすることを推奨します。4.14.x LTS リリースストリームを使用している場合は 4.14.7 へ、4.18.x リリースストリームを使用している場合は 4.18.2 へのアップグレードを推奨します。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 27, 2026, midnight |
| Registration Date | April 30, 2026, 11:02 a.m. |
| Last Update | April 30, 2026, 11:02 a.m. |
| CVSS3.0 : 緊急 | |
| Score | 9.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Apache Software Foundation |
| Apache Camel 3.0.0 以上 4.14.7 未満 |
| Apache Camel 4.15.0 以上 4.18.2 未満 |
| Apache Camel 4.19.0 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
April 30, 2026, 11:02 a.m. |
| Summary | JmsBinding.extractBodyFromJms() in camel-jms, and the equivalent JmsBinding class in camel-sjms, deserialized the payload of incoming JMS ObjectMessage values via javax.jms.ObjectMessage.getObject() without applying any ObjectInputFilter, class allowlist or class denylist. Because this code path is reached whenever the mapJmsMessage option is enabled (the default) and Camel acts as a JMS consumer, an attacker able to publish a crafted ObjectMessage to a queue or topic consumed by a Camel application could achieve remote code execution when a deserialization gadget chain was present on the classpath. The same handling was reached transitively through camel-sjms2 (whose Sjms2Endpoint extends SjmsEndpoint) and through camel-amqp (whose AMQPJmsBinding extends JmsBinding), and by other JMS-family components built on JmsComponent such as camel-activemq and camel-activemq6. This issue affects Apache Camel: from 3.0.0 before 4.14.7, from 4.15.0 before 4.18.2, from 4.19.0 before 4.20.0. Users are recommended to upgrade to version 4.20.0, which fixes the issue. If users are on the 4.14.x LTS releases stream, then they are suggested to upgrade to 4.14.7. If users are on the 4.18.x releases stream, then they are suggested to upgrade to 4.18.2. |
|---|---|
| Publication Date | April 27, 2026, 6:16 p.m. |
| Registration Date | April 28, 2026, 4:07 a.m. |
| Last Update | April 29, 2026, 4:42 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 3.0.0 | 4.14.7 | |||
| cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 4.15.0 | 4.18.2 | |||
| cpe:2.3:a:apache:camel:4.19.0:*:*:*:*:*:*:* | |||||