检测

Apache Camel 3.10.0 < 3.22.4/4.8.x < 4.8.5/4.10.x < 4.10.2 消息标头注入 (CVE-2025-27636)

medium Nessus 插件 ID 232840

语言:

简介

远程主机包含一个受消息标头注入漏洞影响的集成框架。

描述

远程主机上运行的 Apache Camel 版本为 3.22.4 之前的 3.10.0 版、4.8.5 之前的 4.8.x 版,或是 4.10.2 之前的 4.10.x 版。因此,它受到受到消息标头注入漏洞的影响:

 - Apache Camel 组件在特定情况下存在的绕过/注入漏洞。此问题影响以下 Apache Camel 版本:4.10.0 至 <= 4.10.1、4.8.0 至 <= 4.8.4、3.10.0 至 <= 3.22.3。建议用户升级到版本 4.10.2 至 4.10.x LTS、4.8.5 至 4.8.x LTS 和 3.22.4 至 3.x。此漏洞存在于 Camel 的默认传入标头过滤器中,该过滤器允许攻击者包含 Camel 特定标头;对于某些 Camel 组件(例如 camel-bean 组件),这些标头可以改变行为,以调用 bean 上的另一个方法,而不是在应用程序中编码的方法。(CVE-2025-27636)

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级到 Apache Camel 3.22.4、4.8.5、4.10.2 或更高版本。

另见

http://www.nessus.org/u?5d554999

插件详情

严重性: Medium

ID: 232840

文件名: apache_camel_CVE-2025-27636.nasl

版本: 1.1

类型: local

代理: windows, macosx, unix

系列: Misc.

发布时间: 2025/3/18

最近更新时间: 2025/3/18

配置: 启用全面检查 (optional)

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.9

CVSS v2

风险因素: Medium

基本分数: 5.1

矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2025-27636

CVSS v3

风险因素: Medium

基本分数: 5.6

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

漏洞信息

CPE: cpe:/a:apache:camel

补丁发布日期: 2025/3/9

漏洞发布日期: 2025/3/9

参考资料信息

CVE: CVE-2025-27636