漏洞概述 漏洞名称: CVE-2026-49086 严重程度: 中等 描述: Dapr Pub/Sub 消费者将入站 CloudEvent 的 pub/sub 名称和主题复制到生产者方向的路由头中。这些头是生产者方向的路由头:当路由通过 Dapr 生产者重新发布时,DaprConfigurationOptionsProxy 会读取它们并优先于端点上配置的目的地。因此,在从 Dapr Pub/Sub 主题重新发布到另一个主题的路由中(例如从 到 ),一个能够发布到订阅主题的参与者可以设置 CloudEvent 的 pub/sub 名称和主题为其选择的值,导致重新发布的消息被发送到任意 Dapr Pub/Sub 组件和主题,而不是配置的目的地——重定向或绕过消息和路由的意图路由以及底层代理中的任何主题级别访问控制。利用需要能够发布到路由订阅的主题;不需要其他身份验证或用户交互。 影响范围 受影响版本: 从 4.12.0 到 4.14.8,从 4.15.0 到 4.18.3,从 4.19.0 到 4.21.0。 修复方案 修复版本: 4.14.8、4.18.3 和 4.21.0。 缓解措施: 建议用户升级到 4.21.0 版本,该版本修复了问题。如果用户使用的是 4.14.x LTS 发布流,则建议升级到 4.14.8。如果用户使用的是 4.18.x 发布流,则建议升级到 4.18.3。对于无法立即升级的部署,可以从 Dapr 消费者和路由中的任何 Dapr 生产者中删除 CamelDaprPubSubName 和 CamelDaprTopic 头(例如,使用 ),并限制谁可以发布到订阅的 Dapr Pub/Sub 主题,以便只有受信任的生产者可以发送消息。 其他信息 JIRA 链接: https://issues.apache.org/jira/browse/CAMEL-23630 MITRE CVE 条目: https://www.cve.org/CVERecord?id=CVE-2026-49086 发现者: Leon Zbiecki