Vulnerabilidad en Apache Camel de Apache Software Foundation (CVE-2026-25747)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
23/02/2026
Última modificación:
26/02/2026
Descripción
Vulnerabilidad de deserialización de datos no confiables en el componente Apache Camel LevelDB.<br />
<br />
La clase Camel-LevelDB DefaultLevelDBSerializer deserializa datos leídos del repositorio de agregación LevelDB usando java.io.ObjectInputStream sin aplicar ningún ObjectInputFilter o restricciones de carga de clases. Un atacante que puede escribir en los archivos de la base de datos LevelDB utilizados por una aplicación Camel puede inyectar un objeto Java serializado manipulado que, cuando es deserializado durante las operaciones normales del repositorio de agregación, resulta en ejecución de código arbitrario en el contexto de la aplicación.<br />
Este problema afecta a Apache Camel: desde 4.10.0 antes de 4.10.8, desde 4.14.0 antes de 4.14.5, desde 4.15.0 antes de 4.18.0.<br />
<br />
Se recomienda a los usuarios actualizar a la versión 4.18.0, que corrige el problema. Para las versiones LTS 4.10.x, se recomienda a los usuarios actualizar a 4.10.9, mientras que para las versiones LTS 4.14.x, se recomienda a los usuarios actualizar a 4.14.5.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 3.0.0 (incluyendo) | 4.10.9 (excluyendo) |
| cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 4.11.0 (incluyendo) | 4.14.5 (excluyendo) |
| cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 4.15.0 (incluyendo) | 4.18.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página