کشف آسیب پذیری در Apache Camel

آسیب‌پذیری CVE-2026-33453 مربوط به مؤلفه camel-coap در Apache Camel است و ناشی از کنترل نامناسب روی  attributeهای پویای ورودی است. در این آسیب‌پذیری، مؤلفه camel-coap پارامترهای query مربوط به درخواست‌های CoAP را بدون اعمال HeaderFilterStrategy مستقیماً به  headerهای پیام Camel منتقل می‌کند. این موضوع امکان تزریق  headerهای داخلی Camel را برای مهاجم فراهم می‌کند. در صورتی که route آسیب‌پذیر پیام‌های دریافتی از coap:// را به  producerهای حساس به header مانند camel-exec، camel-sql، camel-bean، camel-file یا  template component ها ارسال کند، مهاجم می‌تواند رفتار producer  را تغییر دهد. در سناریوی camel-exec، header های تزریق‌شده می‌توانند executable و آرگومان‌های دستور را تغییر داده و منجر به اجرای دستور سیستم‌عامل با سطح دسترسی فرایند Apache Camel شوند.

محصولات / نسخه‌های آسیب‌پذیر

این آسیب‌پذیری مؤلفه org.apache.camel:camel-coap در Apache Camel را تحت تأثیر قرار می‌دهد.

نسخه‌های آسیب‌پذیر اعلام‌شده عبارت‌اند از:

• Apache Camel 4.14.0 تا 4.14.5

• Apache Camel 4.18.0 قبل از 4.18.1

• Apache Camel 4.19.0

توصیه‌های امنیتی

• با توجه به شدت 10.0، امکان بهره‌برداری بدون احراز هویت و وجود PoC عمومی، سازمان‌هایی که از Apache Camel در سامانه‌های backend، API Gateway، یکپارچه‌سازی سرویس‌ها یا پردازش پیام استفاده می‌کنند باید این آسیب‌پذیری را در اولویت بررسی قرار دهند. این مورد به‌ویژه برای محیط‌هایی اهمیت دارد که مؤلفه camel-coap فعال است یا مسیرهای CoAP به  producerهای حساس متصل شده‌اند.

• این آسیب‌پذیری از نظر ماهیت، بیشتر در حوزه کتابخانه /Dependency، API، سرویس‌های سازمانی و Backend Integration قرار می‌گیرد و برای حوزه کاری وب‌اپلیکیشن و تست نفوذ وب نیز ارتباط متوسط رو به بالا دارد؛ زیرا می‌تواند در لایه سرویس‌های پشت‌صحنه و مسیرهای API/Integration منجر به RCE شود.

منبع خبر

https://nvd.nist.gov/vuln/detail/CVE-2026-33453

https://github.com/advisories/GHSA-695c-x5gc-94gj

http://www.openwall.com/lists/oss-security/2026/04/26/3