Конвертер типа верблюжьего компонента Mina Mina Mina Mina обертывает IoBuffer в java.io.ObjectInputStream без применения каких-либо огранич…

Конвертер типа верблюжьего компонента Mina Mina Mina Mina обертывает IoBuffer в java.io.ObjectInputStream без применения каких-либо ограничений ObjectInputFilter или классной загрузки. Когда маршрут Camel использует Camel-mina в качестве потребителя TCP или UDP и запрашивает конвертацию в ObjectInput (например, через getBody (ObjectInput.class) или @Body ObjectInput), злоумышленник, отправляющий созданный сериализированный объект Java по сети в потребительский порт MINA, может инициировать произвольное исполнение кода в контексте приложения во время readObject(). Эта проблема затрагивает Apache Camel: от 3.0.0 до 4.14.6, от 4.15.0 до 4.18.2, от 4.19.0 до 4.20.0. Пользователям рекомендуется обновиться до версии 4.20.0, которая устраняет проблему. Если пользователи находятся на потоке выпусков 4,14.x LTS, то им предлагается обновиться до 4.14.6. Если пользователи находятся на потоке выпусков 4.18.x, то им предлагается обновиться до 4.18.2.