CVE-2026-40048

Descripción de la Vulnerabilidad: La vulnerabilidad CVE-2026-40048 afecta a la clase FileBasedKeyLifecycleManager del módulo PQC en Apache Camel. Esta clase deserializa archivos con extensión .key en un directorio de claves configurado, utilizando java.io.ObjectInputStream sin aplicar filtros de entrada o restricciones de carga de clases. El casteo a java.security.KeyPair ocurre después de que el método readObject() haya devuelto ya sus efectos secundarios, lo que permite a un atacante explotar comportamientos no autorizados durante la deserialización.

Sistemas Afectados

Software: Apache Camel (versión 3.x) con módulos PQC activos.
Contexto: Aplicaciones que utilizan el manejo de claves basado en archivos y dependen de la secuencia de deserialización sin validación adicional.

Impacto y Explotabilidad

CVSS: 7.8 (Moderno). Un atacante con acceso físico o remoto a un sistema que permite escribir en el directorio de claves podría injectar objetos maliciosos durante la deserialización. Esto permitiría ejecutar código no autorizado, comprometiendo la seguridad de las claves criptográficas y potencialmente el sistema.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso públicos disponibles.

Mitigación y Parches

Recomendaciones:
1. Actualización de software: Verificar si las versiones actuales de Apache Camel incluyen correcciones para esta vulnerabilidad (ver documentación oficial).
2. Validación de entrada: Limitar el acceso al directorio de claves a usuarios con permisos mínimos y validar que los archivos deserializados provengan de fuentes confiables.
3. Reemplazo de secuencias de deserialización: Evitar la deserialización de objetos no verificados, especialmente en entornos críticos.