Apache Camel JDBCAggregationRepository反序列化漏洞

[y1ong]

• 漏洞编号: CVE-2024-22369
• 危害定级: 高危
• 漏洞标签: 发布预警 公开漏洞
• 披露日期: 2024-02-20
• 信息来源: https://www.oscs1024.com/cm
• 推送原因: 漏洞创建

漏洞描述
Apache Camel 是开源的系统间数据交互集成框架。 在受影响版本中，由于对JDBCAggregationRepository中exchange的实现存在未限制的反序列化逻辑，当攻击者可控制数据库中exchange字段值时，可以反序列化任意类，造成任意代码执行。 在修复版本中，通过校验逻辑限制其仅允许反序列化java及camel自身类。

参考链接

1. https://www.oscs1024.com/hd/MPS-03tm-wyhp
2. https://issues.apache.org/jira/browse/CAMEL-20303
3. https://www.cve.org/CVERecord?id=CVE-2024-22369
4. https://lists.apache.org/thread/3dko781dy2gy5l3fs48p56fgp429yb0f