CVE: CVE-2025-29891

Descrizione: Bypass/Injection vulnerability in Apache Camel. Questo problema si applica a Apache Camel: da 4.10.0 prima di 4.10.2, da 4.8.0 prima di 4.8.5, da 3.10.0 prima di 3.22.4. Si raccomanda agli utenti di aggiornare a versione 4.10.2 per le versioni LTS 4.10.x, 4.8.5 e 3.22.4. Questa vulnerabilità è presente nel filtro di header di input predefinito di Camel, che consente a un attaccante di includere header specifiche di Camel che, per alcuni componenti di Camel, possono alterare il comportamento, come il componente camel-bean o il componente camel-exec. Se hai applicazioni Camel direttamente connesse a Internet tramite HTTP, un attaccante potrebbe includere parametri nell’HTTP request inviato all’applicazione Camel, che vengono tradotti in header. Le intestazioni potrebbero essere fornite come parametri per una chiamata HTTP o come parte del payload della chiamata HTTP. Tutti i componenti HTTP conosciuti di Camel, come camel-servlet, camel-jetty, camel-undertow, camel-platform-http e camel-netty-http, sarebbero vulnerabili dall’oggi al domani. Questo CVE è correlato al CVE-2025-27636: sebbene abbiano lo stesso causa e siano stati corretti con la stessa correzione, CVE-2025-27636 era considerato solo sfruttabile se un attaccante potesse aggiungere intestazioni HTTP malevoli, mentre abbiamo ora determinato che è anche sfruttabile tramite parametri HTTP. Come in CVE-2025-27636, l’esplorazione è possibile solo se il percorso Camel utilizza componenti vulnerabili.**

Vettore di attacco

Riferimenti esterni

• https://camel.apache.org/security/CVE-2025-27636.html
• https://camel.apache.org/security/CVE-2025-29891.html

Prodotti interessati

• Apache Software Foundation – Apache Camel

Relazioni con altri prodotti

Produttore:Apache Software Foundation
Prodotto: Apache Camel
Anno: 2025
CWE: CWE-164
CVSS: 0.0

Ulteriori risorse disponibili

• Vulnerabilità scoperte nello stesso anno (2025)