Vulnerabilidad en Apache Camel (CVE-2025-29891)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/03/2025
Última modificación:
02/04/2025
Descripción
Vulnerabilidad de omisión/inyección en Apache Camel. Este problema afecta a Apache Camel: desde la versión 4.10.0 hasta la 4.10.2, desde la 4.8.0 hasta la 4.8.5, y desde la 3.10.0 hasta la 3.22.4. Se recomienda actualizar a la versión 4.10.2 para la versión 4.10.x LTS, a la 4.8.5 para la versión 4.8.x LTS y a la 3.22.4 para la versión 3.x. Esta vulnerabilidad se presenta en el filtro de encabezados entrantes predeterminado de Camel, que permite a un atacante incluir encabezados específicos de Camel que, en algunos componentes de Camel, pueden alterar el comportamiento, como los componentes camel-bean o camel-exec. Si tiene aplicaciones Camel conectadas directamente a internet mediante HTTP, un atacante podría incluir parámetros en las solicitudes HTTP enviadas a la aplicación Camel que se traducen en encabezados. Los encabezados podrían proporcionarse como parámetros de solicitud para la invocación de métodos HTTP o como parte de la carga útil de dicha invocación. Todos los componentes HTTP conocidos de Camel, como camel-servlet, camel-jetty, camel-undertow, camel-platform-http y camel-netty-http, serían vulnerables de fábrica. Esta CVE está relacionada con la CVE-2025-27636: si bien comparten la misma causa raíz y se corrigen con la misma solución, se asumió que la CVE-2025-27636 solo era explotable si un atacante podía agregar encabezados HTTP maliciosos, mientras que ahora hemos determinado que también es explotable mediante parámetros HTTP. Al igual que en la CVE-2025-27636, la explotación solo es posible si la ruta Camel utiliza componentes vulnerables específicos.
Impacto
Puntuación base 3.x
4.80
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 3.10.0 (incluyendo) | 3.22.4 (excluyendo) |
cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 4.8.0 (incluyendo) | 4.8.5 (excluyendo) |
cpe:2.3:a:apache:camel:*:*:*:*:*:*:*:* | 4.10.0 (incluyendo) | 4.10.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página