vs gauge
区分
JVN番号
タイトル
JVN
深刻度
最終更新日
CVE番号
New
JVNDB-2026-022929

Apache Software FoundationのApache Camelにおける信頼できないデータのデシリアライゼーションに関する脆弱性

7.3
2026/07/09 10:59
CVE-2026-43866
JVNDB-2026-022929
Apache Software FoundationのApache Camelにおける信頼できないデータのデシリアライゼーションに関する脆弱性
概要
Apache CamelおよびApache Camel JMSコンポーネントにおける信頼されていないデータのデシリアライズ脆弱性です。camel-jmsのJmsBinding.extractBodyFromJms()および同等のcamel-sjms内のJmsBindingは、mapJmsMessageオプションが有効(デフォルト)かつCamelがJMSコンシューマとして動作している場合に、受信したJMS ObjectMessageのペイロードをjakarta.jms.ObjectMessage.getObject()を通じてデシリアライズします。CVE-2026-40860の強化により、デシリアライズ後にクラスチェックが追加され、デフォルトの許可リスト java.**;javax.**;org.apache.camel.**;!* に含まれないクラスは拒否されます。しかし、org.apache.camel.support.DefaultExchangeHolder自体は許可リストに含まれるorg.apache.camel.**名前空間に存在するため、トップレベルのオブジェクトがDefaultExchangeHolderであるObjectMessageはこのチェックを通過します。受信側はtransferExchangeオプションの有効化を要求せずにDefaultExchangeHolder.unmarshal()を呼び出すため(非対称な信頼境界となっており、送信側はObjectMessageとtransferExchange処理を制御しているものの受信側はしていません)、保持者のすべての非nullフィールドをExchangeに書き込みます:メッセージボディ、INおよびOUTヘッダー、Exchangeのプロパティ、変数、Exchange ID、および例外です。攻撃者は影響を受けるCamelアプリケーションで消費されるキューやトピックにObjectMessageを送信できれば、任意のExchange状態をjava.langおよびjava.utilの普遍的に信頼された型のみを用いて(デシリアライズのガジェットチェーン不要で)注入し、ルーティング・ヘッダー、Exchangeプロパティ、エラー処理を操作できます。同様の取り扱いはcamel-sjms、camel-sjms2、およびJmsComponentとJmsBindingに基づくJMS系コンポーネント(camel-amqp、camel-activemq、camel-activemq6)にも適用されます。これはCVE-2026-40860の修正の回避であり、その欠陥ではありません。影響範囲はApache Camelのバージョン3.0.0から4.14.8未満、4.15.0から4.18.3未満、4.19.0から4.21.0未満です。ユーザーはこの問題を修正したバージョン4.21.0へのアップグレードを推奨します。4.14.xのLTSリリースを使用している場合は4.14.8へ、4.18.xのリリースを使用している場合は4.18.3へのアップグレードを推奨します。アップグレード後、camel-jms、camel-sjms、およびJMS系コンポーネントではJMS ObjectMessageの取り扱いはデフォルトで無効化されます(objectMessageEnabledという新しいオプションがコンポーネントおよびエンドポイントレベルでデフォルトfalseです)。したがって、DefaultExchangeHolderペイロードを含む受信ObjectMessageは、明示的にオプションを有効にしない限りデシリアライズされません。objectMessageEnabled=trueは、消費しているJMSデスティネーションが信頼されたプロデューサーのみから供給されている場合にのみ設定してください。すぐにアップグレードできない場合は、JMSブローカーの認可を用いてCamelが消費するキューやトピックへのパブリッシュアクセスを信頼できるプロデューサーに制限し、ObjectMessageボディをマッピングするJMSコンシューマを信頼されていないネットワークに公開しないことを推奨します。なお、JMSプロバイダーのデシリアライズ許可リストでは本特定の回避を軽減できません。なぜなら、悪意あるペイロードは普遍的に信頼されたクラスのみを使用しているためです。
想定される影響と対策
・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアの一部が停止する可能性があります。
ベンダ情報を参照して適切な対策を実施してください。
JVN情報 ※( )内はCVSS v2の値
深刻度 7.3
CVECVE-2026-43866
公表日2026/07/06 00:00
登録日2026/07/09 10:59
更新日2026/07/09 10:59
CVSS v3情報
全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。