概要
Apache Camel のメールコンポーネント (camel-mail) にメッセージヘッダインジェクション脆弱性が発見されました。攻撃者はメールメッセージのヘッダに任意の値を挿入することが可能であり、メールの偽装やスパム送信、フィッシング攻撃などに悪用される恐れがあります。
Apache Camel は企業システムにおけるインテグレーションフレームワークとして広く利用されており、メールコンポーネントはメール送受信の自動化処理で頻繁に使用されています。本脆弱性では、メールヘッダの値に対する適切なサニタイズ処理が行われていないため、攻撃者が改行文字やその他の制御文字を含む入力を通じて追加のヘッダを挿入できます。これにより、送信元アドレスの偽装、BCC の追加、その他のヘッダ操作が可能となります。
本脆弱性はヘッダインジェクションに分類されます。メール送信機能を Apache Camel のメールコンポーネント経由で実装しているシステムでは、ユーザー入力がメールヘッダに反映される箇所で悪用が可能です。速やかに修正バージョンへのアップデートを適用してください。
CVSSベクトル
| 指標 | 値 |
|---|---|
| CVSSスコア | 9.8 |
| 深刻度 | Critical |
| CWE | CWE-113 (HTTPレスポンスヘッダインジェクション) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| camel-mail | Apache Software Foundation | < 4.14.6 |
| camel-mail | Apache Software Foundation | < 4.18.1 |
修正バージョンと回避策
- 修正バージョン: Apache Camel 4.14.6 または 4.18.1 にアップデートしてください
- 回避策: アップデートが即座に適用できない場合は、メールコンポーネントに渡すヘッダ値に対して改行文字や制御文字のサニタイズ処理を追加してください
- 確認事項: camel-mail コンポーネントを使用してメール送信を行っている全ての箇所を確認してください
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。