CVE-2026-40022Когда аутентификация включена на встроенном HTTP-сервере Apache Camel или встроенном сервере управления (celel-platform-http-main), а некорневой контекстный путь, такой как /api или /admin, конфигурируется через camel.server.path или camel.management.path, классы BasicAuthenticationConfigurer и JWTAuthenticationConfigurer получают путь аутентификации от свойств.паттернирование не устанавливается явно. В сочетании с моделью монтажа подрейдера Vert.x - подмарионетка установлен на _path_*, а обработчик аутентификации регистрируется внутри подмаршрутизатора на разрешенном пути - это заставляет обработчик аутентификации соответствовать только точному сконфигурированному контексту пути, а не его подпути. Неаутентифицированные запросы на подпути, такие как /api/_route_ или /admin/observe/info, поэтому достигают защищенных бизнес-маршрутов и конечных точек управления без оспаривания полномочий. Конечта /observe/info может раскрывать метаданные времени выполнения, такие как пользователь, рабочий каталог, домашний каталог, идентификатор процесса, JVM и информация операционной системы.
Эта проблема затрагивает Apache Camel: от 4,14.1 до 4.14.6, от 4.18.0 до 4.18.2.
Пользователям рекомендуется обновиться до версии 4.20.0, что устраняет проблему. Если пользователи находятся в потоке 4,14.x LTS, им предлагается обновиться до 4.14.6. Если пользователи находятся в потоке выпусков 4,18.x LTS, им предлагается обновиться до 4.18.2.