Apache Camel 安全公告:CVE-2026-40022 漏洞概述 严重性:中等 (MEDIUM) 摘要:Apache Camel-Platform-HTTP-Main 存在认证绕过漏洞。当在 camel main 运行时启用了嵌入式 HTTP 服务器或嵌入式管理服务器,且配置了非根上下文路径(如 或 )时,如果未显式设置 ,BasicAuthenticationConfigurer 和 JWTAuthenticationConfigurer 类会从 派生认证路径。 技术细节:结合 Vert.x 子路由器挂载模型(子路由器挂载在 ),认证处理程序注册在解析路径的子路由器内部。这导致认证处理程序仅匹配配置的上下文路径,而不匹配其子路径。因此,针对 或 等子路径的未认证请求可以到达受保护的业务路由和管理端点,而无需凭据挑战。 端点可能泄露运行时元数据,如用户、工作目录、主目录、进程 ID、JVM 和操作系统信息。 影响范围 受影响版本: - 从 4.14.1 到 4.14.6 - 从 4.15.0 到 4.18.2 已修复版本: - 4.14.6 - 4.18.2 - 4.20.0 修复方案 缓解措施: - 建议用户升级到 4.20.0 版本,该版本修复了此问题。 - 如果用户使用的是 4.14.x LTS 发布流,建议升级到 4.14.6。 - 如果用户使用的是 4.18.x LTS 发布流,建议升级到 4.18.2。 其他信息 发现者:Jihang Yu 参考链接: - PGP 签名公告数据:CVE-2026-40022.txt.asc - Mitre CVE 条目:CVE-2026-40022