Apache Camel 安全公告:CVE-2026-40473 漏洞概述 严重性:中等 摘要:Camel-Mina 组件中的 方法存在不安全的反序列化漏洞,可通过 TCP/UDP 触发。 描述: - 类型转换器在将 包装为 时,未应用任何 或类加载限制。 - 当 Camel 路由使用 作为 TCP 或 UDP 消费者,并请求转换为 (例如通过 或 )时,攻击者可通过网络向 MINA 消费者端口发送精心构造的序列化 Java 对象,从而在 执行期间触发任意代码执行。 影响范围 受影响版本: - 3.0.0 至 4.14.6(不含 4.14.6) - 4.15.0 至 4.18.2(不含 4.18.2) - 4.19.0 至 4.20.0(不含 4.20.0) 修复方案 已修复版本:4.14.6、4.18.2、4.20.0 缓解建议: - 推荐升级至 4.20.0。 - 若使用 4.14.x LTS 发布流,建议升级至 4.14.6。 - 若使用 4.18.x 发布流,建议升级至 4.18.2。 其他信息 备注: - JIRA 工单:CAMEL-23331 - 此修复遵循与 CAMEL-23297、CAMEL-23321、CAMEL-23322 相同的加固模式。 - 与 CVE-2024-22369、CVE-2024-23114、CVE-2026-25747 属于同类漏洞。 致谢:由 Venkatraman Kumar 发现。 参考链接: - PGP 签名公告数据:CVE-2026-40473.txt.asc - Mitre CVE 条目:https://www.cve.org/CVERecord?id=CVE-2026-40473