Apache - CVE-2026-23552
Date de publication :
Apache Camel est un framework d’intégration open source permettant de connecter et d’orchestrer des applications et services via des routes d’intégration. Le composant camel-keycloak permet d’appliquer des politiques de sécurité basées sur Keycloak.
Une vulnérabilité de validation insuffisante dans le composant KeycloakSecurityPolicy d’Apache Camel. Elle permet l’acceptation de jetons JWT issus d’un realm Keycloak différent de celui configuré, entraînant un contournement de l’isolation multi-tenant.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Contournement de la politique de sécurité
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
Exploitation
CWE-346 : Origin Validation Error
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Apache Camel (org.apache.camel:camel-keycloak) versions 4.15.0 jusqu’à 4.17.x
• Apache Camel versions antérieures à 4.18.0 à partir de 4.15.0