漏洞概述 CVE-2026-48204 严重程度: 中等 摘要: Camel-MongoDB-GridFS组件中的 控制头使用了非Camel前缀的名称,绕过了HTTP头过滤器,允许HTTP客户端切换GridFS操作,包括在默认配置下破坏性的文件删除。 描述: Camel-mongodb-gridfs生产者控制GridFS操作,通过 交换头。当端点操作参数未设置时(默认情况),控制头常量(如 、 等)是纯字符串 、 等。这些名称不与Camel/camel前缀、 一起使用,因此它们会直接通过HTTP边界传递到mongod-gridfs生产者。在路由中桥接HTTP消费者(例如platform-http)到mongod-gridfs生产者时,任何HTTP客户端都可以因此设置 头来覆盖路由的意图操作,例如,上传文件后删除(通过 枚举桶中的所有文件或 读取文件)并提供一个解析为MongoDB文档的 值,从而实现NoSQL查询注入。无需凭据,当桥接消费者未认证时。 影响范围 受影响的版本: - 4.0.0到4.14.8 - 4.15.0到4.18.3 - 4.19.0到4.21.0 修复方案 已修复的版本: - 4.14.8 - 4.18.3 - 4.21.0 缓解措施: - 建议用户升级到4.21.0以修复问题。 - 如果用户使用的是4.14.x LTS发布流,则建议升级到4.14.8。 - 如果用户使用的是4.18.x发布流,则建议升级到4.18.3。 - 升级后,驱动GridFS操作或元数据的原始头名称必须使用 、 、 、 、 代替 名称。 - 对于无法立即升级的部署,可以在 端点上设置显式操作,以便操作不从 头中获取,并剥离来自未信任入口的 头。 参考链接 PGP签名公告数据: CVE-2026-48204.txt.asc Mitre CVE条目: CVE-2026-48204 其他信息 JIRA票证: CAMEL-23575 修复提交: - 主分支: commit 8f0d1ac - camel-4.18.x: commit 054d0c1e - camel-4.14.x: commit 9915ad46 贡献者 该问题由Yu Bao从PayPal发现。