Apache Camel 安全公告:CVE-2026-46456 漏洞概述 Apache Camel 的 组件在将入站消息属性映射到 Camel Exchange 时,通过组件特定的 处理不当。具体而言, 配置了仅过滤出 中定义的 Camel 头(如 、 和 ),但未配置入站过滤器。这导致 在复制 SQS 消息属性到 Exchange 时,未应用任何入站规则,将所有未过滤的头(包括 Camel 内部控制的头)复制到 Camel 消息中。攻击者可以通过发送恶意消息注入 Camel 控制头,影响下游生产者的行为(例如重定向 HTTP 生产者、更改文件名或覆盖查询)。 影响范围 受影响版本: - 4.0.0 到 4.14.8 - 4.15.0 到 4.18.3 - 4.19.0 到 4.21.0 修复方案 已修复版本: - 4.14.8 - 4.18.3 - 4.21.0 建议措施 升级到 4.21.0 以彻底修复问题。 如果使用的是 4.14.x LTS 发布流,建议升级到 4.14.8。 如果使用的是 4.18.x 发布流,建议升级到 4.18.3。 对于无法立即升级的部署,可以在路由开始时移除 Camel 控制头,并限制谁可以向 SQS 队列发送消息。 参考链接 JIRA 问题 PGP 签名的公告数据 Mitre CVE 条目