Apache Camel: Krytyczna luka CVE-2026-47323 pozwala na RCE

Luka zidentyfikowana jako CVE-2026-47323 otrzymała ocenę 9.8 w skali CVSS (Common Vulnerability Scoring System — skala 0-10 oceniająca powagę luki) [Cve.cvss]. Problem dotyczy popularnego frameworka integracyjnego Apache Camel i w określonych warunkach pozwala na zdalne wykonanie kodu. Podatność wynika z nieprawidłowego filtrowania nagłówków w komponentach CXF i Knative.

TL;DR

• Produkt: Apache Camel
• Luka: CVE-2026-47323 [Cve.id] — Wstrzykiwanie nagłówków wiadomości ¹
• Wektor: Nieuwierzytelnione żądanie HTTP do endpointu CXF-RS lub CXF-SOAP ze spreparowanymi nagłówkami ².
• Skutek: Zdalne wykonanie kodu (RCE — Remote Code Execution) lub zapis dowolnego pliku na serwerze ³.
• Dotyczy: Firmy używające Apache Camel w wersjach od 3.18.0 do 4.14.5 oraz od 4.15.0 do 4.18.1 ⁴, szczególnie w integracjach opartych o usługi webowe (SOAP/REST).
• Pierwszy ruch: Identyfikacja instancji Apache Camel w infrastrukturze i natychmiastowa aktualizacja do wersji 4.19.0 ⁵, 4.18.2 ⁶ lub 4.14.6 ⁷.

Wektor ataku

Podatność CVE-2026-47323 [Cve.id] ma swoje źródło w mechanizmie filtrowania nagłówków w Apache Camel ¹. Konkretnie, implementacje HeaderFilterStrategy dla komponentów camel-cxf oraz camel-knative nieprawidłowo obsługują ruch przychodzący. Filtrowane są jedynie wychodzące, wewnętrzne nagłówki frameworka, podczas gdy brakuje analogicznej weryfikacji dla nagłówków przychodzących ⁸.

Taka konfiguracja otwiera drogę do ataku. Nieuwierzytelniony operator może wysłać spreparowane żądanie HTTP do publicznie dostępnego punktu końcowego, który jest obsługiwany przez camel-cxf-rs (REST) lub camel-cxf-transport (SOAP) ². W żądaniu tym umieszcza własne wersje wewnętrznych nagłówków Apache Camel, takich jak CamelExecCommandExecutable czy CamelFileName ².

Jeśli trasa (route) wewnątrz aplikacji jest skonfigurowana tak, aby przekazywać wiadomości z tych punktów końcowych do innych komponentów sterowanych nagłówkami — na przykład camel-exec (wykonującego polecenia systemowe) lub camel-file (operującego na plikach) — wstrzyknięte nagłówki mogą nadpisać te zdefiniowane w konfiguracji trasy ⁹. W rezultacie atakujący może zyskać możliwość zdalnego wykonania kodu, czyli RCE (Remote Code Execution), lub zapisu plików w dowolnej lokalizacji na serwerze, na którym działa aplikacja ³.

Problem ten wpisuje się w szerszy wzorzec podatności obserwowany w Apache Camel. Podobne błędy w logice filtrowania nagłówków były wcześniej identyfikowane i łatane w innych komponentach, m.in. camel-undertow (CVE-2025-30177) oraz w strategiach innych niż HTTP (CVE-2026-40453) ¹⁰.

Wskaźniki kompromitacji

Ponieważ jest to luka w oprogramowaniu, a nie konkretna kampania, nie istnieją uniwersalne wskaźniki kompromitacji (IoC — Indicators of Compromise). Każdy atak wykorzystujący tę podatność będzie miał własną infrastrukturę. Zespoły SOC (Security Operations Center — zespół monitoringu bezpieczeństwa) powinny jednak skupić się na analizie logów serwerów aplikacyjnych i proxy.

Należy szukać żądań HTTP kierowanych do punktów końcowych CXF i Knative, które zawierają nietypowe nagłówki, szczególnie te zaczynające się od prefiksu Camel. Przykłady podejrzanych nagłówków to:

CamelExecCommandExecutable: /usr/bin/wget
CamelFileName: /tmp/payload.sh

Obecność takich nagłówków w żądaniach od nieuwierzytelnionych, zewnętrznych źródeł jest silnym sygnałem próby wykorzystania luki. ## Co zrobić w 24-48h

Rekomendujemy natychmiastowe podjęcie działań w celu mitygacji ryzyka. Apache Camel jest szeroko stosowany w polskich przedsiębiorstwach, często jako szkielet systemów integracyjnych w sektorze finansowym, telekomunikacyjnym i e-commerce.

1. Audyt zależności. Należy bezzwłocznie zweryfikować wszystkie projekty oparte o JVM (Java Virtual Machine) pod kątem wykorzystania Apache Camel. Sprawdź pliki pom.xml (Maven) lub build.gradle (Gradle) w poszukiwaniu podatnych wersji biblioteki. Dotyczy to wersji od 3.18.0 do 4.14.5 oraz od 4.15.0 do 4.18.1 ⁴.

2. Aktualizacja. Producent zaleca aktualizację do wersji, które zawierają poprawkę:

   • Główna ścieżka rozwoju: aktualizacja do wersji 4.19.0 ⁵.
   • Użytkownicy ścieżki LTS (Long-Term Support) 4.18.x: aktualizacja do 4.18.2 ⁶.
   • Użytkownicy ścieżki LTS 4.14.x: aktualizacja do 4.14.6 ⁷.

3. Weryfikacja dostawców. Jeśli korzystacie z gotowego oprogramowania komercyjnego, które może być zbudowane na Apache Camel, skontaktujcie się z dostawcą w celu potwierdzenia, czy produkt jest podatny i kiedy dostępna będzie łatka. Jest to kluczowe w kontekście zgodności z regulacjami takimi jak NIS2 (unijna dyrektywa o bezpieczeństwie sieci).

4. Monitoring. Do czasu wdrożenia aktualizacji, warto wzmocnić monitoring na punktach styku aplikacji ze światem zewnętrznym. Skonfiguruj reguły w systemach WAF (Web Application Firewall) lub EDR (Endpoint Detection and Response) do blokowania lub alertowania na żądania zawierające nagłówki Camel*. W przypadku podejrzenia kompromitacji, rekomendowanym krokiem jest izolacja systemu i zgłoszenie incydentu do wewnętrznego zespołu bezpieczeństwa lub do krajowego CSIRT, np. CERT Polska.

Powyższe rekomendacje stanowią sugerowane podejście i nie zastępują profesjonalnej konsultacji bezpieczeństwa. ## Źródła

1. https://nvd.nist.gov/vuln/detail/CVE-2026-47323
2. https://nvd.nist.gov/vuln/detail/CVE-2026-47323
3. https://nvd.nist.gov/vuln/detail/CVE-2026-47323
4. https://nvd.nist.gov/vuln/detail/CVE-2026-47323
5. https://nvd.nist.gov/vuln/detail/CVE-2026-47323
6. https://nvd.nist.gov/vuln/detail/CVE-2026-47323
7. https://nvd.nist.gov/vuln/detail/CVE-2026-47323
8. https://nvd.nist.gov/vuln/detail/CVE-2026-47323
9. https://nvd.nist.gov/vuln/detail/CVE-2026-47323
10. https://nvd.nist.gov/vuln/detail/CVE-2026-47323

Źródła

Zobacz też

• CVE-2026-45505: Krytyczna luka RCE w Apache ActiveMQ
• Krytyczna luka RCE w SzafirHost od KIR (CVE-2026-44088)
• CVE-2025-51427: RCE w ModelScope. Zagrożenie dla projektów AI
• Krytyczna luka w MySQL Shell (CVE-2026-46850) z oceną CVSS 9.9

Footnotes

1. Luka CVE-2026-47323 dotyczy wstrzykiwania nagłówków wiadomości w Apache Camel-CXF i Camel-Knative z powodu braku filtrowania przychodzącego. — https://nvd.nist.gov/vuln/detail/CVE-2026-47323 ↩ ↩²

2. Nieautoryzowany atakujący może wstrzyknąć wewnętrzne nagłówki Camel (np. CamelExecCommandExecutable, CamelFileName) poprzez żądania HTTP do punktów końcowych CXF-RS lub CXF-SOAP. — https://nvd.nist.gov/vuln/detail/CVE-2026-47323 ↩ ↩² ↩³

3. Może to umożliwić zdalne wykonanie kodu lub arbitralny zapis plików. — https://nvd.nist.gov/vuln/detail/CVE-2026-47323 ↩ ↩²

4. Problem dotyczy Apache Camel w wersjach od 3.18.0 do 4.14.5 oraz od 4.15.0 do 4.18.1. — https://nvd.nist.gov/vuln/detail/CVE-2026-47323 ↩ ↩²

5. Zaleca się aktualizację do wersji 4.19.0, która naprawia ten problem. — https://nvd.nist.gov/vuln/detail/CVE-2026-47323 ↩ ↩²

6. Użytkownicy korzystający ze strumienia wydań LTS 4.18.x powinni zaktualizować do wersji 4.18.2. — https://nvd.nist.gov/vuln/detail/CVE-2026-47323 ↩ ↩²

7. Użytkownicy korzystający ze strumienia wydań LTS 4.14.x powinni zaktualizować do wersji 4.14.6. — https://nvd.nist.gov/vuln/detail/CVE-2026-47323 ↩ ↩²

8. Implementacje HeaderFilterStrategy w CXF i Knative filtrują tylko nagłówki wewnętrzne Camel wychodzące, ale nie konfigurują filtrowania przychodzącego. — https://nvd.nist.gov/vuln/detail/CVE-2026-47323 ↩

9. Gdy trasa przekazuje wiadomości z tych punktów końcowych do komponentów sterowanych nagłówkami, takich jak camel-exec lub camel-file, wstrzyknięte nagłówki mogą nadpisać skonfigurowane wartości. — https://nvd.nist.gov/vuln/detail/CVE-2026-47323 ↩

10. Ten sam wzorzec był wcześniej adresowany w camel-undertow (CVE-2025-30177), szerszym filtrze nagłówków przychodzących (CVE-2025-27636 i CVE-2025-29891) oraz strategiach innych niż HTTP (CVE-2026-40453). — https://nvd.nist.gov/vuln/detail/CVE-2026-47323 ↩