Apache Camel 4.8.0 < 4.8.6 / 4.10.0 < 4.10.3 – Camel-Undertowのバイパス/インジェクションの脆弱性CVE-2025-30177
medium Nessus プラグイン ID 265334
Language:
概要
Camel メッセージヘッダー注入の脆弱性が Apache Camel の Camel-Undertow コンポーネントに存在します。説明
この問題は Apache Camel に影響を与えます 4.10.0 より前の 4.10.3から、 4.8.0 より前の 4.8.6から。したがって、メッセージヘッダーインジェクション脆弱性の影響を受けます。- 特定の条件下での Apache Camel コンポーネントのバイパス/インジェクションの脆弱性。特に、コンポーネントで使用されるカスタムヘッダーフィルター戦略は「アウト」方向のみをフィルターし、「イン」方向はフィルターしません。ユーザーは、 4.10.x LTS 用のバージョン 4.10.3 および 4.8.6 用の 4.8.x にアップグレードすることが推奨されます。 LTS に関連するベクトルを通じて、可用性に影響を与えることが可能です。これにより、攻撃者が、一部の Camel コンポーネントに対して、Camel-bean コンポーネントや Camel-exec コンポーネントなどの動作を変更させる可能性がある Camel 固有のヘッダーを含めることができます。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Apache Camelバージョン 4.8.6 または 4.10.3 以降にアップグレードしてください。参考資料
https://lists.apache.org/thread/dj79zdgw01j337lr9gvyy4sv8xfyw8py
プラグインの詳細
深刻度: Medium
ID: 265334
ファイル名: apache_camel_CVE-2025-30177.nasl
バージョン: 1.1
タイプ: local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2025/9/17
更新日: 2025/9/17
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 2.5
CVSS v2
リスクファクター: Medium
基本値: 6.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS スコアのソース: CVE-2025-30177
CVSS v3
リスクファクター: Medium
基本値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
脆弱性情報
CPE: cpe:/a:apache:camel
必要な KB アイテム: installed_sw/Apache Camel
パッチ公開日: 2025/4/1
脆弱性公開日: 2025/4/1
参照情報
CVE: CVE-2025-30177