1.漏洞概述

2024 年 2 月 21 日，安全运营中心监测到 Apache Camel JDBCAggregationRepository 反序列化漏洞，漏洞编号：CVE-2024-22369，漏洞威胁等级：高危。

2.漏洞详情

Apache Camel 是开源的系统间数据交互集成框架。在受影响版本中，由于对 JDBCAggregationRepository 中 exchange 的实现存在未限制的反序列化逻辑，当攻击者可控制数据库中 exchange 字段值时，可以反序列化任意类，造成任意代码执行。在修复版本中，通过校验逻辑限制其仅允许反序列化 java 及 camel 自身类。

3.影响版本

3.0.0<=apache.camel<3.21.4

3.22.0<=apache.camel<3.22.1

4.0.0<=apache.camel<4.0.44.1.0<=apache.camel<4.4.0

4.处置建议

1. 升级 org.apache.camel:camel-sql 到 3.21.4、3.22.1、4.0.4、4.4.0 或

更高版本。

2. https://lists.apache.org/thread/3dko781dy2gy5l3fs48p56fgp429yb0f  

预警通告来源：赛尔网络安全运营中心

联系人：梁宇

邮箱：liangyu@cernet.com

电话：15848147651