Vulnerabilidad en Apache Camel (CVE-2025-29891)

Vulnerabilidad de omisión/inyección en Apache Camel. Este problema afecta a Apache Camel: desde la versión 4.10.0 hasta la 4.10.2, desde la 4.8.0 hasta la 4.8.5, y desde la 3.10.0 hasta la 3.22.4. Se recomienda actualizar a la versión 4.10.2 para la versión 4.10.x LTS, a la 4.8.5 para la versión 4.8.x LTS y a la 3.22.4 para la versión 3.x. Esta vulnerabilidad se presenta en el filtro de encabezados entrantes predeterminado de Camel, que permite a un atacante incluir encabezados específicos de Camel que, en algunos componentes de Camel, pueden alterar el comportamiento, como los componentes camel-bean o camel-exec. Si tiene aplicaciones Camel conectadas directamente a internet mediante HTTP, un atacante podría incluir parámetros en las solicitudes HTTP enviadas a la aplicación Camel que se traducen en encabezados. Los encabezados podrían proporcionarse como parámetros de solicitud para la invocación de métodos HTTP o como parte de la carga útil de dicha invocación. Todos los componentes HTTP conocidos de Camel, como camel-servlet, camel-jetty, camel-undertow, camel-platform-http y camel-netty-http, serían vulnerables de fábrica. Esta CVE está relacionada con la CVE-2025-27636: si bien comparten la misma causa raíz y se corrigen con la misma solución, se asumió que la CVE-2025-27636 solo era explotable si un atacante podía agregar encabezados HTTP maliciosos, mientras que ahora hemos determinado que también es explotable mediante parámetros HTTP. Al igual que en la CVE-2025-27636, la explotación solo es posible si la ruta Camel utiliza componentes vulnerables específicos.