| Title | Apache Software FoundationのApache Camelにおける信頼できないデータのデシリアライゼーションに関する脆弱性 |
|---|---|
| Summary | camel-consulコンポーネントのConsulRegistry(クラスorg.apache.camel.component.consul.ConsulRegistryおよびその内部のConsulRegistryUtils.deserializeメソッド)は、Consul KVストアからJavaシリアライズ済みの値を読み取り、ObjectInputFilterを設定せずにObjectInputStream.readObject()に渡していました。攻撃者がCamel ConsulRegistryインスタンスのバックエンドであるConsul KVストアに書き込み権限を持つ場合、悪意のあるシリアライズ済みJavaオブジェクトを注入でき、次回Camelがそのレジストリに対してルックアップを行う際にオブジェクトがデシリアライズされ、Camelプロセス内で任意のコードが実行される可能性があります。この問題は、同様の脆弱性クラスの修正時に見落とされていました。対象バージョンはApache Camelの3.0.0から4.14.6未満および4.15.0から4.18.1未満です。ユーザーは、この問題を修正したバージョン4.19.0へアップグレードすることが推奨されます。4.14.x LTSリリースのユーザーは4.14.6へ、4.18.xリリースのユーザーは4.18.1へアップグレードすることが推奨されます。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 27, 2026, midnight |
| Registration Date | April 30, 2026, 12:16 p.m. |
| Last Update | April 30, 2026, 12:16 p.m. |
| CVSS3.0 : 重要 | |
| Score | 8.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Apache Software Foundation |
| Apache Camel 3.0.0 以上 4.14.6 未満 |
| Apache Camel 4.15.0 以上 4.18.1 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
April 30, 2026, 12:16 p.m. |
| Summary | The ConsulRegistry in the camel-consul component (class org.apache.camel.component.consul.ConsulRegistry and its inner ConsulRegistryUtils.deserialize method) read Java-serialized values from the Consul KV store and passed them to ObjectInputStream.readObject() without configuring an ObjectInputFilter. An attacker who can write to the Consul KV store backing a Camel ConsulRegistry instance could inject a malicious serialized Java object that is deserialized the next time Camel performs a lookup against that registry, leading to arbitrary code execution in the Camel process. The issue mirrors the class of vulnerability already addressed for other Camel components in CVE-2024-22369, CVE-2024-23114 and CVE-2026-25747, and was overlooked during the original remediation of those CVEs. This issue affects Apache Camel: from 3.0.0 before 4.14.6, from 4.15.0 before 4.18.1. Users are recommended to upgrade to version 4.19.0, which fixes the issue. If users are on the 4.14.x LTS releases stream, then they are suggested to upgrade to 4.14.6. If users are on the 4.18.x releases stream, then they are suggested to upgrade to 4.18.1. |
|---|---|
| Publication Date | April 27, 2026, 8:16 p.m. |
| Registration Date | April 28, 2026, 4:07 a.m. |
| Last Update | April 28, 2026, 10:18 p.m. |