漏洞概述 CVE-2026-49097 是一个中等严重性的安全漏洞,涉及 Apache Camel 的 IRC 组件。该漏洞允许攻击者通过非 Camel 前缀的 Exchange 头常量绕过 HTTP 头过滤器,从而将 IRC 消息重定向到任意频道或用户。 影响范围 受影响版本: - 4.0.0 到 4.14.8 - 4.15.0 到 4.18.3 - 4.19.0 到 4.21.0 修复方案 已修复版本: - 4.14.8 - 4.18.3 - 4.21.0 详细描述 该漏洞存在于 头常量中,当该头存在时,它会覆盖端点上配置的频道列表,导致消息被发送到指定的目标。由于这些头不使用 Camel 前缀,它们可以绕过 过滤器,从而允许攻击者通过 HTTP 请求将消息发送到任意 IRC 频道或用户。 缓解措施 建议用户升级到 4.21.0 版本以修复此漏洞。 对于无法立即升级的用户,建议使用 Camel 前缀的 Exchange 头常量(例如 )代替旧的 值。 对于无法立即升级的部署,可以在路由开始时移除 头,并设置 IRC 目标来自受信任的来源。 参考链接 JIRA 票证 PGP 签名警告数据 Mitre CVE 条目 发现者 此漏洞由 Yu Bao 从 PayPal 发现。