Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-03703

Опубликовано: 12 мар. 2025
Источник: fstec
CVSS3: 4.8
CVSS2: 4
EPSS Низкий

Описание

Уязвимость компонента Header Handler java-фреймворка Apache Camel связана с непринятием мер по нейтрализации внутренних специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие целостность и доступность защищаемой информации

Вендор

Apache Software Foundation

Наименование ПО

Apache Camel

Версия ПО

от 4.10.0 до 4.10.2 (Apache Camel)
от 4.8.0 до 4.8.5 (Apache Camel)
от 3.10.0 до 3.22.4 (Apache Camel)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://camel.apache.org/security/CVE-2025-29891.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 53%
0.003
Низкий

4.8 Medium

CVSS3

4 Medium

CVSS2

Связанные уязвимости

redhat логотип

CVE-2025-29891

CVSS3: 6.3
redhat
6 месяцев назад

Bypass/Injection vulnerability in Apache Camel. This issue affects Apache Camel: from 4.10.0 before 4.10.2, from 4.8.0 before 4.8.5, from 3.10.0 before 3.22.4. Users are recommended to upgrade to version 4.10.2 for 4.10.x LTS, 4.8.5 for 4.8.x LTS and 3.22.4 for 3.x releases. This vulnerability is present in Camel's default incoming header filter, that allows an attacker to include Camel specific headers that for some Camel components can alter the behaviours such as the camel-bean component, or the camel-exec component. If you have Camel applications that are directly connected to the internet via HTTP, then an attacker could include parameters in the HTTP requests that are sent to the Camel application that get translated into headers.  The headers could be both provided as request parameters for an HTTP methods invocation or as part of the payload of the HTTP methods invocation. All the known Camel HTTP component such as camel-servlet, camel-jetty, camel-undertow, camel-platform...

nvd логотип

CVE-2025-29891

CVSS3: 4.8
nvd
6 месяцев назад

Bypass/Injection vulnerability in Apache Camel. This issue affects Apache Camel: from 4.10.0 before 4.10.2, from 4.8.0 before 4.8.5, from 3.10.0 before 3.22.4. Users are recommended to upgrade to version 4.10.2 for 4.10.x LTS, 4.8.5 for 4.8.x LTS and 3.22.4 for 3.x releases. This vulnerability is present in Camel's default incoming header filter, that allows an attacker to include Camel specific headers that for some Camel components can alter the behaviours such as the camel-bean component, or the camel-exec component. If you have Camel applications that are directly connected to the internet via HTTP, then an attacker could include parameters in the HTTP requests that are sent to the Camel application that get translated into headers.  The headers could be both provided as request parameters for an HTTP methods invocation or as part of the payload of the HTTP methods invocation. All the known Camel HTTP component such as camel-servlet, camel-jetty, camel-undertow, camel-platf

github логотип

GHSA-96v5-c2h5-56hm

CVSS3: 4.2
github
6 месяцев назад

Apache Camel Message Header Injection through request parameters

EPSS

Процентиль: 53%
0.003
Низкий

4.8 Medium

CVSS3

4 Medium

CVSS2