Vulnerabilidad en Apache Camel-Bean (CVE-2025-27636)

Vulnerabilidad de bypass/inyección en el componente Apache Camel-Bean en determinadas condiciones. Este problema afecta a Apache Camel: desde la versión 4.10.0 hasta la <= 4.10.1, desde la versión 4.8.0 hasta la <= 4.8.4, desde la versión 3.10.0 hasta la <= 3.22.3. Se recomienda a los usuarios que actualicen a la versión 4.10.2 para 4.10.x LTS, 4.8.5 para 4.8.x LTS y 3.22.4 para las versiones 3.x. Esta vulnerabilidad solo está presente en la siguiente situación. El usuario está utilizando uno de los siguientes servidores HTTP a través de uno de los siguientes componentes Camel * camel-servlet * camel-jetty * camel-undertow * camel-platform-http * camel-netty-http y en la ruta, el intercambio se enrutará a un productor de camel-bean. Por lo tanto, SOLO el componente camel-bean está afectado. En particular: * La invocación del bean (solo se ve afectada si usas cualquiera de los anteriores junto con el componente camel-bean). * El bean que se puede llamar tiene más de 1 método implementado. En estas condiciones, un atacante podría falsificar un nombre de encabezado de Camel y hacer que el componente bean invoque otros métodos en el mismo bean. La vulnerabilidad surge debido a un error en el mecanismo de filtrado predeterminado que solo bloquea los encabezados que comienzan con "Camel", "camel" u "org.apache.camel". Mitigación: puedes solucionar esto fácilmente en tus aplicaciones Camel eliminando los encabezados en tus rutas Camel. Hay muchas formas de hacer esto, también globalmente o por ruta. Esto significa que puedes usar el EIP removeHeaders para filtrar cualquier cosa como "cAmel, cAMEL", etc., o en general todo lo que no comience con "Camel", "camel" u "org.apache.camel".