漏洞概述 漏洞名称: CVE-2026-42527 严重程度: 中等 描述: 默认的 模式允许 并启用基于 DNS 的信息泄露。当攻击者能够向受影响的 Camel 消费者发送序列化负载时, (或任何调用其元素的 的集合)中包含 键会导致 JVM 向攻击者控制的 DNS 服务器发出 DNS 查询,从而提供带外侧信道。 影响范围 受影响版本: - Apache Camel 4.14.0 到 4.14.7 (4.14.x 行) - Apache Camel 4.18.0 到 4.18.2 (4.18.x 行) - Apache Camel 4.20.0 修复方案 已修复版本: - 4.14.8 - 4.18.3 - 4.21.0 缓解措施 用户应升级到包含 CAMEL-23372 修复的版本: - 4.21.0 (4.21.x 行) - 4.18.3 (4.18.x 行) - 4.14.8 (4.14.x 行) 对于无法立即升级的部署,配置 JMS 提供程序端允许列表(Apache ActiveMQ Artemis 的 / ,Apache ActiveMQ Classic 的 )作为主要缓解措施,并/或在端点级别覆盖 选项或在 JVM 宽 系统属性中显式拒绝 (或 )以聚合序列化组件,不包括 。 参考链接 PGP 签名公告数据: CVE-2026-42527.txt.asc Mitre CVE 条目: CVE-2026-42527 备注 JIRA 票证: CAMEL-23372 指的是解决该问题的提交,并有更多详细信息。 默认反序列化过滤器由 CAMEL-23297, CAMEL-23319, CAMEL-23321, CAMEL-23322, 和 CAMEL-23324 加固系列引入。 修复已合并到主分支,并在各个分支中进行了回溯。 贡献者 此漏洞由 Venkatraman Kumar 从 SecurIn 和 Yu Bao 从 PayPal 报告。