Apache Camel 3.10.0 < 3.22.4 / 4.8.x < 4.8.5 / 4.10.x < 4.10.2 訊息標頭插入 (CVE-2025-27636)

medium Nessus Plugin ID 232840

概要

遠端主機上有一個受到訊息標頭插入弱點影響的整合架構。

說明

遠端主機上執行的 Apache Camel 版本為 3.22.4 之前的 3.10.0 版、4.8.5 之前的 4.8.x 版,或是 4.10.2 之前的 4.10.x 版。因此受到一個訊息標頭插入弱點影響:

- 在特定情況下,Apache Camel 元件中的繞過/插入攻擊弱點。此問題影響以下版本的 Apache Camel:4.10.0 至 <= 4.10.1、4.8.0 至 <= 4.8.4、3.10.0 至 <= 3.22.3。建議使用者升級至 4.10.x LTS 的 4.10.2 版、4.8.x LTS 的 4.8.5 版以及 3.x 的 3.22.4 版本。此弱點存在於 Camel 的預設傳入標頭篩選器中,可允許攻擊者納入 Camel 專屬標頭,讓某些 Camel 元件可改變行為 (例如 Camel-bean 元件),呼叫 bean 上的另一種方法,而不是在應用程式中編碼。(CVE-2025-27636)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Apache Camel 3.22.4、4.8.5 或 4.10.2 或更新版本。

另請參閱

http://www.nessus.org/u?5d554999

Plugin 詳細資訊

嚴重性: Medium

ID: 232840

檔案名稱: apache_camel_CVE-2025-27636.nasl

版本: 1.1

類型: local

代理程式: windows, macosx, unix

系列: Misc.

已發布: 2025/3/18

已更新: 2025/3/18

組態: 啟用徹底檢查 (optional)

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Medium

基本分數: 5.1

媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2025-27636

CVSS v3

風險因素: Medium

基本分數: 5.6

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

弱點資訊

CPE: cpe:/a:apache:camel

修補程式發佈日期: 2025/3/9

弱點發布日期: 2025/3/9

參考資訊

CVE: CVE-2025-27636