製品・ソフトウェアに関する情報
Apache Software FoundationのApache Camelにおける信頼できないデータのデシリアライゼーションに関する脆弱性
Title Apache Software FoundationのApache Camelにおける信頼できないデータのデシリアライゼーションに関する脆弱性
Summary

Apache Camel PQCコンポーネントにおける信頼されていないデータのデシリアライズ脆弱性について説明します。camel-pqcコンポーネントは、プラガブルなKeyLifecycleManagerの実装を通じてポスト量子鍵メタデータ(KeyMetadata)を永続化しています。AwsSecretsManagerKeyLifecycleManager.deserializeMetadata()は、設定されたAWS Secrets ManagerのシークレットからそのメタデータをBase64デコードし、保存された値をjava.io.ObjectInputStream.readObject()でデシリアライズします。しかし、ObjectInputFilterやクラスの許可リストが存在せず、readObject()が返る前にKeyMetadataへのキャストは行われません。したがって、作成されたオブジェクトのreadObject()の副作用は型チェックより先に実行されます。このメタデータを保持するAWS Secrets Managerシークレットへの書き込み権限(対象シークレットに対するsecretsmanager:PutSecretValue)を持つ主体は、通常のキーライフサイクル操作中にデシリアライズされる細工されたシリアライズオブジェクトを保存でき、その結果、キー管理を行うアプリケーションのコンテキストでコードが実行される可能性があります。これは、CVE-2026-46590と同じ根本的欠陥に起因し、同じコードパスで発生しており、同じ修正によって対処されています。本CVEはHashiCorp Vaultおよびファイルベースの関連マネージャーも対象としており、両者ともCVE-2026-40048(CAMEL-23200)の不完全な修正に対する追補となっています。この問題はApache Camelのバージョン4.18.0以降4.18.3未満、4.19.0以降4.21.0未満に影響を与えます。ユーザーには、本問題を修正したバージョン4.21.0へのアップグレードを推奨します。また、4.18.xのLTSリリースシリーズを利用している場合は、4.18.3へのアップグレードが推奨されます。直ちにアップグレードできない環境では、camel-pqcの鍵メタデータを保持するAWS Secrets Managerのシークレットへの書き込みアクセスを、アプリケーション自身のIDのみがsecretsmanager:PutSecretValue権限を持つように制限し(最小権限のIAM設定を適用し)、PQC鍵素材を信頼度の低い主体が書き込み可能なデータから分離したシークレットに保管することが推奨されます。

Possible impacts ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date July 6, 2026, midnight
Registration Date July 9, 2026, 10:59 a.m.
Last Update July 9, 2026, 10:59 a.m.
CVSS3.0 : 緊急
Score 9.8
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Affected System
Apache Software Foundation
Apache Camel 4.18.0 以上 4.18.3 未満
Apache Camel 4.19.0 以上 4.21.0 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年07月09日]
  掲載
July 9, 2026, 10:59 a.m.

NVD Vulnerability Information
CVE-2026-43867
Summary

Deserialization of Untrusted Data vulnerability in Apache Camel PQC Component.

The camel-pqc component persists post-quantum key metadata (KeyMetadata) through pluggable KeyLifecycleManager implementations. AwsSecretsManagerKeyLifecycleManager.deserializeMetadata() reads that metadata back from the configured AWS Secrets Manager secret by Base64-decoding the stored value and deserializing it with a raw java.io.ObjectInputStream.readObject() and no ObjectInputFilter or class allow-list; the cast to KeyMetadata happens only after readObject() returns, so any readObject() side effects in a crafted object run before the type check. A principal who can write to the AWS Secrets Manager secret that holds this metadata (requiring secretsmanager:PutSecretValue on that secret) could store a crafted serialized object that is deserialized during normal key-lifecycle operations, potentially leading to code execution in the context of the application that manages the keys. This is the same underlying defect, in the same code path and remediated by the same fix, as CVE-2026-46590, which was reported independently and additionally covers the HashiCorp Vault and file-based sibling managers; both are incomplete-remediation follow-ons to CVE-2026-40048 (CAMEL-23200).
This issue affects Apache Camel: from 4.18.0 before 4.18.3, from 4.19.0 before 4.21.0.

Users are recommended to upgrade to version 4.21.0, which fixes the issue. If users are on the 4.18.x LTS releases stream, then they are suggested to upgrade to 4.18.3. For deployments that cannot upgrade immediately, restrict write access to the AWS Secrets Manager secret that holds the camel-pqc key metadata so that only the application’s own identity holds secretsmanager:PutSecretValue on it (least-privilege IAM), and keep the PQC key material in a secret separate from any data that less-trusted principals can write.

Publication Date July 6, 2026, 6:16 p.m.
Registration Date July 7, 2026, 4:22 a.m.
Last Update July 8, 2026, 8:33 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* 4.18.0 4.18.3
cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* 4.19.0 4.21.0
Related information, measures and tools
Common Vulnerabilities List