发布日期：2025-04-01
更新日期：2025-05-22

受影响系统：

Apache Camel >= 4.8.0 <= 4.8.6
Apache Camel >= 4.10.0 <= 4.10.3

描述：

---

CVE(CAN) ID: CVE-2025-30177

Apache Camel是美国阿帕奇（Apache）基金会的一套开源的基于Enterprise Integration Pattern(企业整合模式，简称EIP)的集成框架,该框架提供企业集成模式的Java对象（POJO）的实现，且通过应用程序接口来配置路由和中介的规则。
Apache Camel 4.10.0至4.10.3之前版本和4.8.0至4.8.6之前版本的Camel-Undertow组件中存在绕过/注入漏洞，Camel undertow组件可能受到Camel消息头注入攻击，尤其是在使用自定义标头过滤方法的组件，它们只过滤“out”方向，不过滤“in”方向，攻击者会利用这一漏洞包含特定于Camel的标头，对于某些Camel组件，这些标头可以更改行为，例如camel-bean组件或camel-exec组件。

<*链接：https://lists.apache.org/thread/dj79zdgw01j337lr9gvyy4sv8xfyw8py
*>

建议：

---

厂商补丁：

Apache
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://lists.apache.org/thread/dj79zdgw01j337lr9gvyy4sv8xfyw8py

浏览次数：37
严重程度：0（网友投票）