CVE-2026-40860
CVE-2026-40860 es una vulnerabilidad crítica relacionada con el componente Camel de Apache, específicamente con la función JmsBinding.extractBodyFromJms() en camel-jms y su equivalente en camel-sjms. La vulnerabilidad permite a un atacante explotar una brecha de deserialización que no aplica filtros de seguridad adecuados, permitiendo la ejecución de código malicioso.
Descripción de la Vulnerabilidad
La vulnerabilidad surge cuando se deserializa el contenido de un mensaje JMS ObjectMessage mediante javax.jms.ObjectMessage.getObject(). El código vulnerable no aplica filtros como ObjectInputFilter, listas permitidas o denegadas para las clases. Esto permite a un atacante enviar un mensaje malicioso que, al ser procesado por Camel en modo consumidor de JMS, ejecuta código adversario.
Sistemas Afectados
La vulnerabilidad afecta:
camel-jmscamel-sjms
Estos componentes son parte del framework Apache Camel, utilizado en aplicaciones de integración de sistemas. La vulnerabilidad está activa por defecto cuando la opción mapJmsMessage está habilitada.
Impacto y Explotabilidad
El CVSS:9.8 indica un impacto extremo, con una explotación remota posible. Un atacante puede:
- Crear un mensaje JMS malicioso.
- Inyectar código no autorizado en el sistema.
- Obtener acceso de nivel root o privilegios elevados.
El ataque es posible mediante la publicación de mensajes a una cola o tema consumido por Camel, sin necesidad de autenticación adicional.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso públicos disponibles.
Mitigación y Parches
La mitigación más efectiva es aplicar actualizaciones del componente Apache Camel que incluyan correcciones para el manejo de deserialización en mensajes JMS. Los parches recientes (versiones 3.x) resuelven la brecha al agregar filtros de seguridad durante el proceso de deserialización.
Se recomienda revisar las versiones actualizadas del framework Camel y validar que las configuraciones de consumo de JMS estén protegidas contra mensajes maliciosos.