| Title | Apache Software FoundationのApache Camelにおける代替パスまたはチャネルを使用した認証回避に関する脆弱性 |
|---|---|
| Summary | Apache Camelの組み込みHTTPサーバーまたは組み込み管理サーバー(camel-platform-http-main)で認証が有効になり、camel.server.pathまたはcamel.management.pathを介して/apiや/adminのような非ルートコンテキストパスが設定されている場合、camel.server.authenticationPathまたはcamel.management.authenticationPathが明示的に設定されていないと、BasicAuthenticationConfigurerおよびJWTAuthenticationConfigurerクラスはproperties.getPath()から認証パスを派生させます。Vert.xのサブルーターのマウントモデルと組み合わせると、サブルーターは_path_*にマウントされ、認証ハンドラーは解決されたパス内のサブルーターに登録されます。これにより、認証ハンドラーは設定された正確なコンテキストパスのみに一致し、そのサブパスには一致しません。したがって、/api/_route_や/admin/observe/infoのようなサブパスへの未認証リクエストは、資格情報の要求なしで保護された業務ルートおよび管理エンドポイントに到達します。/observe/infoエンドポイントは、ユーザー、作業ディレクトリ、ホームディレクトリ、プロセスID、JVMおよびオペレーティングシステム情報などのランタイムメタデータを開示する可能性があります。この問題はApache Camelのバージョン4.14.1から4.14.6未満、4.18.0から4.18.2未満に影響します。ユーザーはこの問題を修正したバージョン4.20.0にアップグレードすることが推奨されます。4.14.x LTSリリース系列のユーザーは4.14.6にアップグレードし、4.18.x LTSリリース系列のユーザーは4.18.2にアップグレードすることが推奨されます。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 27, 2026, midnight |
| Registration Date | April 30, 2026, 11:02 a.m. |
| Last Update | April 30, 2026, 11:02 a.m. |
| CVSS3.0 : 重要 | |
| Score | 8.2 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
| Apache Software Foundation |
| Apache Camel 4.14.1 以上 4.14.6 未満 |
| Apache Camel 4.15.0 以上 4.18.2 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
April 30, 2026, 11:02 a.m. |
| Summary | When authentication is enabled on the Apache Camel embedded HTTP server or embedded management server (camel-platform-http-main) and a non-root context path such as /api or /admin is configured via camel.server.path or camel.management.path, the BasicAuthenticationConfigurer and JWTAuthenticationConfigurer classes derive the authentication path from properties.getPath() when camel.server.authenticationPath / camel.management.authenticationPath is not explicitly set. Combined with the Vert.x sub-router mounting model - the sub-router is mounted at _path_* and the authentication handler is registered inside the sub-router at the resolved path - this causes the authentication handler to match only the exact configured context path, not its subpaths. Unauthenticated requests to subpaths such as /api/_route_ or /admin/observe/info therefore reach protected business routes and management endpoints without being challenged for credentials. The /observe/info endpoint can disclose runtime metadata such as the user, working directory, home directory, process ID, JVM and operating system information. This issue affects Apache Camel: from 4.14.1 before 4.14.6, from 4.18.0 before 4.18.2. Users are recommended to upgrade to version 4.20.0, which fixes the issue. If users are on the 4.14.x LTS releases stream, they are suggested to upgrade to 4.14.6. If users are on the 4.18.x LTS releases stream, they are suggested to upgrade to 4.18.2. |
|---|---|
| Publication Date | April 27, 2026, 7:16 p.m. |
| Registration Date | April 28, 2026, 4:07 a.m. |
| Last Update | April 29, 2026, 4:41 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 4.14.1 | 4.14.6 | |||
| cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 4.15.0 | 4.18.2 | |||