Apache Camel 安全公告:CVE-2026-40858 漏洞概述 严重性: 高 摘要: Camel-Infinispan 组件中存在不安全的反序列化漏洞。 描述: 基于 ProtoStream 的远程聚合仓库在从远程 Infinispan 缓存读取数据时,使用 进行反序列化,且未应用任何 。攻击者若能向 Camel 应用程序使用的 Infinispan 缓存写入数据,即可注入恶意的序列化 Java 对象。当该对象在正常的聚合仓库操作(如 或 )中被读取时,会导致应用程序上下文中出现任意代码执行。 影响范围 受影响版本: - 4.0.0 到 4.14.7 (不含) - 4.15.0 到 4.18.2 (不含) - 4.19.0 到 4.20.0 (不含) 修复方案 已修复版本: 4.14.7, 4.18.2, 4.20.0 缓解措施: - 建议用户升级到 4.20.0 版本。 - 如果使用的是 4.14.x LTS 发布分支,建议升级到 4.14.7。 - 如果使用的是 4.18.x 发布分支,建议升级到 4.18.2。 其他信息 发现者: Feng Ning (from Innora Pte. Ltd.) 参考链接: - JIRA Ticket: https://issues.apache.org/jira/browse/CAMEL-23322 - PGP signed advisory data: CVE-2026-40858.txt.asc - Mitre CVE Entry: https://www.cve.org/CVERecord?id=CVE-2026-40858