Apache Camel 4.8.0 < 4.8.6 / 4.10.0 < 4.10.3 – Camel-Undertow 绕过/注入漏洞 (CVE-2025-30177)
medium Nessus 插件 ID 265334
语言:
简介
Apache Camel 的 Camel-Undertow 组件中存在 Camel 消息标头注入漏洞。描述
此问题会影响 Apache Camel旧版 4.10.04.10.3旧版的 4.8.04.8.6版。因此,它受到受到消息标头注入漏洞的影响:- Apache Camel 组件在特定情况下存在的绕过/注入漏洞。特别是 组件使用的自定义标头过滤器策略仅过滤“出”方向而不过滤“入”方向。建议用户升级到 4.10.3 LTS 的 4.10.x 版本和 4.8.6 ] 的 4.8.x 版本。 LTS。这允许攻击者包含 Camel 特定标头这些标头可以更改某些 Camel 组件例如camel-bean 组件或camel-exec 组件的行为。
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 Apache Camel 版本 4.8.6 或 4.10.3 或更高版本。另见
https://lists.apache.org/thread/dj79zdgw01j337lr9gvyy4sv8xfyw8py
插件详情
严重性: Medium
ID: 265334
文件名: apache_camel_CVE-2025-30177.nasl
版本: 1.1
类型: local
代理: windows, macosx, unix
系列: Misc.
发布时间: 2025/9/17
最近更新时间: 2025/9/17
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 2.5
CVSS v2
风险因素: Medium
基本分数: 6.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS 分数来源: CVE-2025-30177
CVSS v3
风险因素: Medium
基本分数: 6.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
漏洞信息
CPE: cpe:/a:apache:camel
必需的 KB 项: installed_sw/Apache Camel
补丁发布日期: 2025/4/1
漏洞发布日期: 2025/4/1
参考资料信息
CVE: CVE-2025-30177