发布日期：2019-06-06
更新日期：2019-06-06

受影响系统：

Apache Apache Camel 2.23
Apache Apache Camel 2.22.2
Apache Apache Camel 2.22.1
Apache Apache Camel 2.22
Apache Apache Camel 2.21.3
Apache Apache Camel 2.21.2
Apache Apache Camel 2.21.1
Apache Apache Camel 2.21

不受影响系统：

Apache Apache Camel 3.0
Apache Apache Camel 2.24
Apache Apache Camel 2.23.1
Apache Apache Camel 2.22.3
Apache Apache Camel 2.21.5

描述：

---

BUGTRAQ  ID: 108181
CVE(CAN) ID: CVE-2019-0194

Apache Camel是Apache基金会下的一个开源项目,它是一个基于规则路由和中介引擎，提供企业集成模式的Java对象的实现，通过应用程序接口（或称为陈述式的Java领域特定语言（DSL））来配置路由和中介的规则。领域特定语言意味着Apache Camel支持你在的集成开发工具中使用平常的，类型安全的，可自动补全的Java代码来编写路由规则，而不需要大量的XML配置文件。同时，也支持在Spring中使用XML配置定义路由和中介规则。

Apache Camel的文件容易受到目录遍历的攻击。Camel 2.21.0至2.21.3,2.22.0至2.22.2,2.23.0以及不受支持的Camel 2.x（2.19及更早版本）版本也可能受到影响。

<*来源：Colm O. HEigeartaigh
  
  链接：https://issues.apache.org/jira/browse/CAMEL-13042
*>

建议：

---

厂商补丁：

Apache
------
Apache已经为此发布了一个安全公告（CAMEL-13042）以及相应补丁:
CAMEL-13042：camel-core - File producer should by default not allow writing files to directories outside its starting directory
链接：https://issues.apache.org/jira/browse/CAMEL-13042

补丁下载：

浏览次数：2522
严重程度：0（网友投票）