| Title | Apache Software FoundationのApache Camelにおける大文字と小文字の区別の不適切な処理に関する脆弱性 |
|---|---|
| Summary | Apache CamelのJMSなどの非HTTPヘッダフィルタ戦略で、大文字と小文字が異なるCamel内部ヘッダーが適切にフィルタリングされず、攻撃者がリモートからコードを実行したり任意のファイルを書き込むことができる脆弱性です。この問題は特定のバージョンのApache Camelに影響し、修正バージョンへアップグレードすることが推奨されます。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 27, 2026, midnight |
| Registration Date | April 30, 2026, 11:02 a.m. |
| Last Update | April 30, 2026, 11:02 a.m. |
| CVSS3.0 : 緊急 | |
| Score | 9.9 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| Apache Software Foundation |
| Apache Camel 3.0.0 以上 4.14.6 未満 |
| Apache Camel 4.15.0 以上 4.18.2 未満 |
| Apache Camel 4.19.0 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
April 30, 2026, 11:02 a.m. |
| Summary | The fix for CVE-2025-27636 added setLowerCase(true) to HttpHeaderFilterStrategy so that case-variant header names such as 'CAmelExecCommandExecutable' are filtered out alongside 'CamelExecCommandExecutable'. The same setLowerCase(true) call was not applied to five non-HTTP HeaderFilterStrategy implementations: JmsHeaderFilterStrategy and ClassicJmsHeaderFilterStrategy in camel-jms, SjmsHeaderFilterStrategy in camel-sjms, CoAPHeaderFilterStrategy in camel-coap, and GooglePubsubHeaderFilterStrategy in camel-google-pubsub. Because those strategies use case-sensitive String.startsWith('Camel'/'camel') filtering while the Camel Exchange stores headers in a case-insensitive map, an attacker with JMS (or equivalent) producer access to the broker consumed by a Camel route can inject case-variant Camel internal headers, which are then resolved by downstream components such as camel-exec and camel-file using their canonical casing. This enables remote code execution and arbitrary file write on routes that forward JMS messages to header-driven components. This issue affects Apache Camel: from 3.0.0 before 4.14.6, from 4.15.0 before 4.18.2, from 4.19.0 before 4.20.0. Users are recommended to upgrade to version 4.20.0, which fixes the issue. If users are on the 4.14.x LTS releases stream, then they are suggested to upgrade to 4.14.6. If users are on the 4.18.x releases stream, then they are suggested to upgrade to 4.18.2. |
|---|---|
| Publication Date | April 27, 2026, 6:16 p.m. |
| Registration Date | April 28, 2026, 4:07 a.m. |
| Last Update | April 29, 2026, 4:43 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 3.0.0 | 4.14.6 | |||
| cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 4.15.0 | 4.18.2 | |||
| cpe:2.3:a:apache:camel:4.19.0:*:*:*:*:*:*:* | |||||