Репозиторий удаленной агрегации компонента верблюжь-infinispan на основе ProtoStream дезериализирует данные, считанные из удаленного кэша I…

Репозиторий удаленной агрегации компонента верблюжь-infinispan на основе ProtoStream дезериализирует данные, считанные из удаленного кэша Infinispan, с использованием java.io.ObjectInputStream без применения ObjectInputFilter. Злоумышленник, который может записать в кэш Infinispan, используемый приложением Camel, может вводить созданный сериализированный объект Java, который при чтении во время обычных операций хранилища агрегации, таких как получение или восстановление, приводит к произвольной казни кода в контексте приложения. Эта проблема затрагивает Apache Camel: с 4.0.0 до 4.14.7, с 4.15.0 до 4.18.2, с 4.19.0 до 4.20.0. Пользователям рекомендуется обновиться до версии 4.20.0, которая устраняет проблему. Если пользователи находятся в потоке 4,14.x LTS, то им предлагается обновиться до 4.14.7. Если пользователи находятся в потоке релизов 4.18.x, то им предлагается обновиться до 4.18.2. Билет JIRA: https://issues.apache.org/jira/browse/CAMEL-23322 относится к различным обязательствам, которые решили эту проблему, и содержит более подробную информацию. Эта проблема связана с теми же классами уязвимости, которые ранее рассматривались в CVE-2024-22369, CVE-2024-23114 и CVE-2026-25747.