Apache Software FoundationのApache Camelにおける信頼できないデータのデシリアライゼーションに関する脆弱性
タイトル Apache Software FoundationのApache Camelにおける信頼できないデータのデシリアライゼーションに関する脆弱性
概要

Apache CamelのHazelcastコンポーネントに存在する信頼されていないデータの逆シリアライズ脆弱性について説明します。camel-hazelcastコンポーネントは、Javaの逆シリアライズフィルターを適用しないデフォルト設定でHazelcastインスタンスを作成・管理しています。Camelが自身でHazelcastの設定を構築する場合、つまりユーザーが提供するHazelcastInstance、hazelcastConfigUri、または参照されるConfig beanが存在しない場合には、HazelcastのJavaSerializationFilterConfigもCamel側のObjectInputFilterも設定されません。そのため、Hazelcastクラスタープロトコルを介して受信したオブジェクトは、Camelで処理される前にHazelcastのシリアライズレイヤー(ObjectInputStream.readObject)内で逆シリアライズされます。Hazelcastクラスタに参加またはアクセス可能な攻撃者は、細工されたシリアライズ済みJavaオブジェクトを公開することが可能であり、それがすべてのCamelノード上で逆シリアライズされることでリモートコード実行に至る可能性があります。この脆弱性はデフォルトで存在し、特別なエンドポイント設定を必要としません。hazelcast-topic、hazelcast-queue、hazelcast-seda、hazelcast-map、hazelcast-multimap、hazelcast-replicatedmap、hazelcast-list、hazelcast-setを使用する任意のルート、およびHazelcastAggregationRepositoryとHazelcastIdempotentRepositoryは、Camelのデフォルト設定によって管理されるインスタンスが作成される場合に影響を受けます。本問題はApache Camelのバージョン4.0.0以降4.14.8未満、4.15.0以降4.18.3未満、4.19.0以降4.21.0未満で発生します。ユーザーには、本問題を修正したバージョン4.21.0へのアップグレードを推奨します。また4.14.x LTS系列のユーザーは4.14.8へのアップグレードを、4.18.x系列のユーザーは4.18.3へのアップグレードを推奨します。修正内容としては、Camelが自身のデフォルト設定から作成するインスタンスに対してデフォルトのHazelcast JavaSerializationFilterConfigを適用し、クラス名プレフィックス「java.」、「javax.」、「org.apache.camel.」をホワイトリストに入れ、「java.net.」をブラックリストに設定しています。ただし、ユーザーが提供するConfigまたはHazelcastInstanceには影響を与えません。すぐにアップグレードできない環境では、Hazelcastインスタンス上で逆シリアライズフィルター(Hazelcast JavaSerializationFilterConfig、もしくはJVM全体のシステムプロパティ -Djdk.serialFilter=!java.net.**;java.**;javax.**;org.apache.camel.**;!*)を設定し、さらにHazelcastクラスタ認証およびTLSを有効化して、クラスタへアクセス可能なユーザーを制限してください。

想定される影響 ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 
対策

ベンダ情報を参照して適切な対策を実施してください。

公表日 2026年7月6日0:00
登録日 2026年7月9日10:59
最終更新日 2026年7月9日10:59
CVSS3.0 : 重要
スコア 8.1
ベクター CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
影響を受けるシステム
Apache Software Foundation
Apache Camel 4.0.0 以上 4.14.8 未満
Apache Camel 4.15.0 以上 4.18.3 未満
Apache Camel 4.19.0 以上 4.21.0 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
変更履歴
No 変更内容 変更日
1 [2026年07月09日]
  掲載
2026年7月9日10:59

NVD脆弱性情報
CVE-2026-43865
概要

Deserialization of Untrusted Data vulnerability in Apache Camel Hazelcast component.

The camel-hazelcast component creates and manages Hazelcast instances using a default configuration that applies no Java deserialization filter. When Camel builds the Hazelcast Config itself - that is, when no user-supplied HazelcastInstance, hazelcastConfigUri, or referenced Config bean is provided - neither Hazelcast's JavaSerializationFilterConfig nor a Camel-side ObjectInputFilter is configured, so objects received over the Hazelcast cluster protocol are deserialized inside Hazelcast's own serialization layer (ObjectInputStream.readObject) before Camel ever processes them. An attacker who can join or otherwise reach the Hazelcast cluster can publish a crafted serialized Java object that is then deserialized on every Camel node, resulting in remote code execution. The exposure is present by default and requires no opt-in endpoint configuration: any route using a hazelcast consumer (hazelcast-topic, hazelcast-queue, hazelcast-seda, hazelcast-map, hazelcast-multimap, hazelcast-replicatedmap, hazelcast-list, hazelcast-set), as well as the HazelcastAggregationRepository and HazelcastIdempotentRepository, is affected whenever the managed instance is created from Camel's default configuration.
This issue affects Apache Camel: from 4.0.0 before 4.14.8, from 4.15.0 before 4.18.3, from 4.19.0 before 4.21.0.

Users are recommended to upgrade to version 4.21.0, which fixes the issue. If users are on the 4.14.x LTS releases stream, then they are suggested to upgrade to 4.14.8. If users are on the 4.18.x releases stream, then they are suggested to upgrade to 4.18.3. The fix makes Camel apply a default Hazelcast JavaSerializationFilterConfig (whitelisting the java., javax. and org.apache.camel. class-name prefixes and blacklisting java.net.) to instances it creates from its own default configuration, while leaving any user-supplied Config or HazelcastInstance untouched. For deployments that cannot upgrade immediately, configure a deserialization filter on the Hazelcast instance (Hazelcast JavaSerializationFilterConfig, or the JVM-wide system property -Djdk.serialFilter=!java.net.**;java.**;javax.**;org.apache.camel.**;!*) and enable Hazelcast cluster authentication and TLS to restrict who can reach the cluster.

公表日 2026年7月6日18:16
登録日 2026年7月7日4:22
最終更新日 2026年7月8日8:38
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* 4.0.0 4.14.8
cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* 4.15.0 4.18.3
cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* 4.19.0 4.21.0
関連情報、対策とツール
共通脆弱性一覧