CVE-2026-56140
Gravedad:
Pendiente de análisis
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
06/07/2026
Última modificación:
06/07/2026
Descripción
Vulnerabilidad por validación incorrecta de entradas en el componente AWS SNS de Apache Camel. El componente «camel-aws2-sns» filtra los encabezados de Camel mediante una estrategia de filtrado de encabezados específica del componente, «Sns2HeaderFilterStrategy». Al igual que su homólogo Sqs2HeaderFilterStrategy, originalmente solo configuraba un filtro de salida (setOutFilterPattern, que impide que se escriban los encabezados Camel*, breadcrumbId y org.apache.camel.*) y no configuraba ninguna regla de filtro de entrada. En el caso del componente relacionado camel-aws2-sqs, esta laguna en el filtrado de entrada era explotable, ya que Sqs2Consumer mapea los atributos de los mensajes SQS entrantes al Camel Exchange mediante HeaderFilterStrategy.applyFilterToExternalHeaders, lo que permite al remitente de un mensaje inyectar encabezados de control de Camel (registrado como CVE-2026-46456). camel-aws2-sns, por el contrario, es exclusivamente de productor: Sns2Endpoint no admite consumidores (createConsumer lanza una excepción UnsupportedOperationException, «No se pueden recibir mensajes desde este punto final»), por lo que ningún atributo de mensaje proporcionado externamente se asigna nunca en la entrada a un Camel Exchange a través de SNS, y, por lo tanto, la regla de filtro de entrada que faltaba en Sns2HeaderFilterStrategy no era accesible para un atacante. Como parte de la misma corrección (CAMEL-23506), se ha añadido una regla de filtro de entrada (setInFilterStartsWith para el espacio de nombres Camel) a Sns2HeaderFilterStrategy, de modo que su configuración coincida con la de Sqs2HeaderFilterStrategy, ya corregida, y con la de las demás estrategias equivalentes. Se trata de una medida de defensa en profundidad sin ninguna vía de explotación conocida en camel-aws2-sns. Este problema afecta a Apache Camel: desde la versión 4.0.0 hasta la 4.14.8, desde la 4.15.0 hasta la 4.18.3 y desde la 4.19.0 hasta la 4.21.0. Se trata de un cambio de refuerzo de la defensa en profundidad sin vías de explotación conocidas en camel-aws2-sns, que es de solo productor, por lo que no se requiere ninguna acción urgente ni solución alternativa. Los usuarios que deseen que el comportamiento se ajuste a lo previsto pueden actualizar a la versión 4.21.0, o a la 4.14.8 en la rama de versiones LTS 4.14.x, o a la 4.18.3 en la rama de versiones 4.18.x, que incluyen el cambio. Como buena práctica general, los operadores deben seguir aplicando permisos IAM de «privilegio mínimo» a sus temas de SNS.



