ApacheCamel漏洞致路由面临标头注入与SSRF风险

admin 2026-07-14 04:44:30 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: ApacheCamel修复了四个高危漏洞,包括三个标头注入漏洞(CVE-2026-55994、CVE-2026-55993、CVE-2026-46726)和一个Keycloak身份验证绕过漏洞(CVE-2026-53913)。标头注入可导致SSRF和机密泄露,Keycloak绕过可能引发RCE。受影响版本广泛,建议升级至4.21.0或应用临时缓解措施如移除Camel控制标头。 综合评分: 85 文章分类: 漏洞分析,威胁情报,安全工具,解决方案,应用安全


cover_image

Apache Camel 漏洞致路由面临标头注入与 SSRF 风险

sec随谈 sec随谈

sec随谈

2026年7月13日 08:50 北京

在小说阅读器读本章

去阅读

摘要

Apache Camel 项目修复了横跨五个组件的四个高危(high-severity)漏洞。其中三个 Apache Camel 漏洞允许攻击者注入 Camel 控制标头(control headers),从而触发服务端请求伪造(SSRF)并泄露机密信息。第四个漏洞位于 camel-keycloak 组件中,会造成一个”失败即放行(fail-open)”的身份验证绕过,进而可能触及能执行代码的路由。

为何重要

Camel 驱动着众多企业系统内部的集成路由(integration routes)。因此,一个能重定向内部 HTTP 调用的标头伎俩,就可能触及云元数据端点(cloud metadata endpoint)或某个内部服务。更糟的是,HTTP 生产者(producer)随后会在攻击者提供的 URI 上解析属性占位符(property placeholders)。其结果是,环境变量、应用配置属性以及保险库(vault)机密会径直流向攻击者。

Keycloak 漏洞的失效方式则不同。在其默认配置下,该策略会接受任何非空的 bearer 令牌(token)。因此,攻击者可以溜过防护,并在某些路由上触及能运行代码的生产者。关键在于,这一默认配置正是官方文档中的入门(starter)配置,因此许多部署环境可能与之相符。上述四个问题均未确认存在公开的概念验证(PoC)或在野利用。

攻击原理

三个连接器中的标头注入

三个消费者(consumer)在未使用 HeaderFilterStrategy(标头过滤策略)的情况下,将外部输入直接复制进了 Camel Exchange。camel-iggy 消费者直接映射了入站消息的用户标头(user-headers),详见 CVE-2026-55994 公告。camel-atmosphere-websocket 消费者复制了 WebSocket 查询参数,详见 CVE-2026-55993 公告。类似地,camel-vertx-websocket 消费者映射了查询参数和路径参数,详见 CVE-2026-46726 公告。

由于没有任何机制拦截 Camel 命名空间,攻击者可以将 CamelHttpUri 设置为一个普通标头或参数。该值随后便会引导下游的 HTTP 生产者指向攻击者选定的目标。在一个未经身份验证的 WebSocket 端点上,远程攻击者无需任何凭据即可触及这条攻击路径。

机密泄露正是由上述第一步引发的。当生产者构建请求时,它会在攻击者提供的 URI 上解析 Camel 属性占位符。因此,一个指向环境变量、应用配置属性或保险库引用的占位符,会被展开为其真实值。该值随后便会搭载在发往攻击者指定主机的出站请求中。

camel-keycloak 中的身份验证绕过

KeycloakSecurityPolicy 仅在其角色(role)与权限(permission)检查内部才会验证令牌。然而,默认的”基础配置(Basic Setup)”会将这两个列表都置空,因此验证流程从未真正执行。CVE-2026-53913 公告解释道,此时任何非空的 bearer 值都能通过防护。当一条受保护的路由转发至一个可执行代码的生产者时,这一缺口便可能导致未经身份验证的远程代码执行(RCE)。该漏洞由 Novee Security 的研究员 Lidor Ben Shitrit 报告。

受影响版本

标头注入漏洞横跨多个 4.x 分支。CVE-2026-55994 影响 4.18.3 之前的 4.17.0,以及 4.21.0 之前的 4.19.0。CVE-2026-55993 和 CVE-2026-46726 影响 4.14.8 之前的 4.0.0、4.18.3 之前的 4.15.0,以及 4.21.0 之前的 4.19.0。最后,camel-keycloak 绕过漏洞影响 4.18.3 之前的 4.15.0,以及 4.21.0 之前的 4.19.0。由于该组件是在 4.15.0 中才引入的,因此 4.14.x 分支不受此漏洞影响。

补丁与缓解措施

首先应升级。4.21.0 版本修复了全部四个问题;4.18.3 覆盖 4.18.x 分支;4.14.8 则修复了 4.14.x 上受影响的 WebSocket 漏洞。如果你暂时无法打补丁,可在路由起始处用 removeHeaders(‘Camel*’) 和 removeHeaders(‘camel*’) 剥离 Camel 控制标头。

其次,应在 WebSocket 端点上强制要求身份验证,并限制谁能向被消费的 Iggy 流(stream)发布消息。此外,应避免将一个不受信任的消费者直接馈入由标头驱动的 HTTP 生产者。针对 Keycloak 策略,应设置非空的 requiredRoles 或 requiredPermissions,或关闭 allowTokenFromHeader,以使令牌验证流程得以运行。在你升级到已修复版本之前,这些措施可以封堵相关的暴露风险。

参考链接:

https://camel.apache.org/security/CVE-2026-55994.html

https://camel.apache.org/security/CVE-2026-55993.html

https://camel.apache.org/security/CVE-2026-46726.html


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:sec随谈 sec随谈 sec随谈《Apache Camel 漏洞致路由面临标头注入与 SSRF 风险》

评论:0   参与:  0