| タイトル | Apache Software FoundationのApache Camelにおける代替パスまたはチャネルを使用した認証回避に関する脆弱性 |
|---|---|
| 概要 | Apache Camelの組み込みHTTPサーバーまたは組み込み管理サーバー(camel-platform-http-main)で認証が有効になり、camel.server.pathまたはcamel.management.pathを介して/apiや/adminのような非ルートコンテキストパスが設定されている場合、camel.server.authenticationPathまたはcamel.management.authenticationPathが明示的に設定されていないと、BasicAuthenticationConfigurerおよびJWTAuthenticationConfigurerクラスはproperties.getPath()から認証パスを派生させます。Vert.xのサブルーターのマウントモデルと組み合わせると、サブルーターは_path_*にマウントされ、認証ハンドラーは解決されたパス内のサブルーターに登録されます。これにより、認証ハンドラーは設定された正確なコンテキストパスのみに一致し、そのサブパスには一致しません。したがって、/api/_route_や/admin/observe/infoのようなサブパスへの未認証リクエストは、資格情報の要求なしで保護された業務ルートおよび管理エンドポイントに到達します。/observe/infoエンドポイントは、ユーザー、作業ディレクトリ、ホームディレクトリ、プロセスID、JVMおよびオペレーティングシステム情報などのランタイムメタデータを開示する可能性があります。この問題はApache Camelのバージョン4.14.1から4.14.6未満、4.18.0から4.18.2未満に影響します。ユーザーはこの問題を修正したバージョン4.20.0にアップグレードすることが推奨されます。4.14.x LTSリリース系列のユーザーは4.14.6にアップグレードし、4.18.x LTSリリース系列のユーザーは4.18.2にアップグレードすることが推奨されます。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月27日0:00 |
| 登録日 | 2026年4月30日11:02 |
| 最終更新日 | 2026年4月30日11:02 |
| CVSS3.0 : 重要 | |
| スコア | 8.2 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N |
| Apache Software Foundation |
| Apache Camel 4.14.1 以上 4.14.6 未満 |
| Apache Camel 4.15.0 以上 4.18.2 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
2026年4月30日11:02 |
| 概要 | When authentication is enabled on the Apache Camel embedded HTTP server or embedded management server (camel-platform-http-main) and a non-root context path such as /api or /admin is configured via camel.server.path or camel.management.path, the BasicAuthenticationConfigurer and JWTAuthenticationConfigurer classes derive the authentication path from properties.getPath() when camel.server.authenticationPath / camel.management.authenticationPath is not explicitly set. Combined with the Vert.x sub-router mounting model - the sub-router is mounted at _path_* and the authentication handler is registered inside the sub-router at the resolved path - this causes the authentication handler to match only the exact configured context path, not its subpaths. Unauthenticated requests to subpaths such as /api/_route_ or /admin/observe/info therefore reach protected business routes and management endpoints without being challenged for credentials. The /observe/info endpoint can disclose runtime metadata such as the user, working directory, home directory, process ID, JVM and operating system information. This issue affects Apache Camel: from 4.14.1 before 4.14.6, from 4.18.0 before 4.18.2. Users are recommended to upgrade to version 4.20.0, which fixes the issue. If users are on the 4.14.x LTS releases stream, they are suggested to upgrade to 4.14.6. If users are on the 4.18.x LTS releases stream, they are suggested to upgrade to 4.18.2. |
|---|---|
| 公表日 | 2026年4月27日19:16 |
| 登録日 | 2026年4月28日4:07 |
| 最終更新日 | 2026年4月29日4:41 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 4.14.1 | 4.14.6 | |||
| cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 4.15.0 | 4.18.2 | |||