Camel-CXF и Camel-Knative Message Injection с помощью отсутствующей входной фильтрации Реализующие CXF и Knative HeaderFilterSategy (CxfRsH…

Camel-CXF и Camel-Knative Message Injection с помощью отсутствующей входной фильтрации Реализующие CXF и Knative HeaderFilterSategy (CxfRsHeaderFilterStrategy в Camel-cxf-rest, CxfHeaderFilterStrategy в Camel-cxf-transport и KnativeHtpHeaderFilterStrategy в верблюде-knative-http) только фильтруют исходящих Camel-InterInFilter Начинается С. В результате неаутентифицированный злоумышленник может вводить Camel-внутренние заголовки (например, CamelExecCommandExecutable, CamelFileName) через HTTP-запросы на конечные точки CXF-RS или CXF-SOAP. Когда маршрут перенаправляет сообщения из этих конечных точек в компоненты, управляемые заголовком, такие как верблюд-исполнитель или верблюжий файл, вводимые заголовки перекраивают настроенные значения, что позволяет удаленное выполнение кода или записи произвольного файла. Это та же картина, которая ранее рассматривалась в верблюжьем подтексте (CVE-2025-30177), более широком фильтре входящего заголовка (CVE-2025-27636 и CVE-2025-29891) и стратегиях, не относящихся к HTTP (CVE-2026-40453). Эта проблема затрагивает Apache Camel: от 3.18.0 до 4.14.6, от 4.15.0 до 4.18.2. Пользователям рекомендуется обновиться до версии 4.19.0, которая устраняет проблему. Если пользователи находятся в потоке выпусков 4,18.x LTS, то им предлагается обновиться до 4.18.2. Если пользователи находятся в потоке выпусков 4,14.x LTS, то им предлагается обновиться до 4.14.6.