検出

Apache Camel 3.10.0 < 3.22.4 / 4.8.x < 4.8.5 / 4.10.x < 4.10.2 メッセージヘッダーインジェクション (CVE-2025-27636)

medium Nessus プラグイン ID 232840

Language:

概要

リモートホストには、メッセージヘッダーインジェクションの脆弱性の影響を受ける統合フレームワークが含まれています。

説明

リモートホストの Apache Camel のバージョンは、3.22.4 より前の 3.10.0、4.8.5 より前の 4.8.x、または 4.10.2 より前の 4.10.x です。したがって、メッセージヘッダーインジェクション脆弱性の影響を受けます。

 - 特定の条件下での Apache Camel コンポーネントのバイパス/インジェクションの脆弱性。この問題は、4.10.0 から 4.10.1 まで、4.8.0 から 4.8.4 まで、3.10.0 から 3.22.3 までの Apache Camel に影響します。ユーザーは、4.10.x LTS の場合はバージョン 4.10.2 に、4.8.x LTS の場合はバージョン 4.8.5 に、3.x リリースの場合はバージョン 3.22.4 にアップグレードすることをお勧めします。この脆弱性は Camel の既定の受信ヘッダー フィルターに存在し、攻撃者が Camel 固有のヘッダーを含めることができるため、一部の Camel コンポーネントの動作が変更され、camel-bean コンポーネントがアプリケーションでコード化されたものとは別のメソッドを Bean 上で呼び出す可能性があります。(CVE-2025-27636)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Apache Camel バージョン 3.22.4、4.8.5、または 4.10.2 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?5d554999

プラグインの詳細

深刻度: Medium

ID: 232840

ファイル名: apache_camel_CVE-2025-27636.nasl

バージョン: 1.1

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2025/3/18

更新日: 2025/3/18

設定: 徹底したチェックを有効にする (optional)

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 5.1

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2025-27636

CVSS v3

リスクファクター: Medium

基本値: 5.6

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

脆弱性情報

CPE: cpe:/a:apache:camel

パッチ公開日: 2025/3/9

脆弱性公開日: 2025/3/9

参照情報

CVE: CVE-2025-27636