Apache - CVE-2026-40453

Il s'agit d'une vulnérabilité dans les stratégies de filtrage d'en-têtes non-HTTP d'Apache Camel (camel-jms, camel-sjms, camel-coap, camel-google-pubsub).

Apache Camel est un framework d'intégration Java fondé sur les patrons d'intégration d'entreprise. Il permet la mise en œuvre de routes de traitement de messages entre systèmes hétérogènes via des centaines de composants (JMS, HTTP, fichiers, bases de données, protocoles IoT, etc.).

Le correctif de CVE-2025-27636 n'avait appliqué l'insensibilité à la casse qu'à HttpHeaderFilterStrategy, laissant les cinq autres implémentations filtrer via un String.startsWith() sensible à la casse. Un attaquant disposant d'un accès producteur au broker JMS peut injecter des en-têtes internes Camel avec une casse variante (ex. CAmelExecCommandExecutable), qui franchissent le filtre puis sont résolus avec leur casse canonique par les composants downstream (camel-exec, camel-file).

Elle permet une exécution de commandes OS arbitraires à distance et une écriture de fichiers arbitraires dans le contexte du processus Camel.