Apache Camel 安全公告:CVE-2026-33454 漏洞概述 严重性:高 摘要:Camel-Mail 消息头注入漏洞,由于过滤不当导致。 描述: - Camel-Mail 组件存在 Camel 消息头注入漏洞。 - 自定义头过滤器策略( )仅通过 过滤“out”方向,而未配置“in”方向的 。 - 当 Camel 应用通过 camel-mail 消费邮件时(例如通过 或 ),入站过滤器检查被跳过,Camel 前缀的 MIME 头未过滤地映射到 Exchange 中。 - 攻击者可以向由消费者监控的邮箱投递邮件,注入 Camel 特定的头,从而改变下游 Camel 组件(如 camel-bean、camel-exec 或 camel-sql)的行为。 - 此问题与之前解决的 camel-undertow 漏洞(CVE-2025-30177)和更广泛的入站头过滤器漏洞(CVE-2025-27636 和 CVE-2025-29891)类似。 影响范围 受影响版本: - 3.0.0 到 4.14.6 - 4.15.0 到 4.18.1 修复方案 已修复版本: - 4.14.6 - 4.18.1 - 4.19.0 缓解措施: - 建议用户升级到 4.19.0 版本以修复问题。 - 如果使用的是 4.18.x LTS 发布分支,建议升级到 4.18.1。 - 如果使用的是 4.14.x LTS 发布分支,建议升级到 4.14.6。 其他信息 备注: - JIRA 票号:https://issues.apache.org/jira/browse/CAMEL-23222 - 相关 CVE:CVE-2025-27636、CVE-2025-29891、CVE-2025-30177 贡献者: - 发现并报告者:Hyunwoo Kim (@v4bel) 参考链接: - PGP 签名公告数据:CVE-2026-33454.txt.asc - Mitre CVE 条目:https://www.cve.org/CVERecord?id=CVE-2026-33454