JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は5月22日、「JVN#71498764: Apache Camel における XML 外部実体参照 (XXE) に関する脆弱性」において、Apache Camelの脆弱性について伝えた。
脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。
- Apache Camel 2.24.0よりも前のバージョン
上記のバージョンにはXML外部実体参照の処理に関して問題があるとされており、この脆弱性を悪用されると、細工されたリクエストを送信することでサーバ上の任意のファイルを読み取ることが可能になる危険性があるとされている。
開発元のThe Apache Software Foundationからは、脆弱性を修正した最新版「Apache Camel camel-2.24.0」が公開されているので、該当するバージョンを使っている場合は迅速にアップデートするすることが推奨される。