CVE-2025-27636

Nome do Software Vulnerável e Versões Afetadas Versões do Apache Camel 3.10.0 até 3.22.3 Versões do Apache Camel 4.8.0 até 4.8.4 Versões do Apache Camel 4.9.0 até 4.10.1 Versões do Apache Camel 4.10.0 até 4.10.1 Versões do Apache Camel 4.8.0 anteriores a 4.8.6 Versões do Apache Camel 4.10.0 anteriores a 4.10.3 Versões do Apache Camel 3.10.0 anteriores a 3.22.4 Versões do Apache Camel 4.9.0 anteriores a 4.10.2

Descrição O Apache Camel é afetado por uma vulnerabilidade de bypass/injeção em seu filtro de cabeçalhos de entrada padrão. Esta falha permite que um atacante inclua cabeçalhos específicos do Camel, potencialmente alterando o comportamento de componentes como camel-bean ou camel-exec. Um atacante poderia injetar cabeçalhos personalizados via requisições HTTP, potencialmente invocando métodos não intencionais ou redirecionando mensagens para diferentes filas. A vulnerabilidade origina-se de um mecanismo de filtragem de cabeçalhos sensível a maiúsculas e minúsculas que bloqueia apenas cabeçalhos começando com "Camel", "camel" ou "org.apache.camel.". O componente camel-undertow também é vulnerável devido à sua estratégia de filtro de cabeçalho personalizada, que filtra apenas a direção "out", deixando a direção "in" desprotegida. Isso permite que atacantes injetem cabeçalhos que podem manipular o comportamento do componente. Exploração ativa foi observada, com mais de 126.000 tentativas de exploração bloqueadas pela Palo Alto Networks em março. A vulnerabilidade está relacionada às CVE-2025-27636 e CVE-2025-30177. Os componentes afetados incluem camel-activemq, camel-activemq6, camel-amqp, camel-aws2-sqs, camel-azure-servicebus, camel-cxf-rest, camel-cxf-soap, camel-http, camel-jetty, camel-jms, camel-kafka, camel-knative, camel-mail, camel-nats, camel-netty-http, camel-platform-http, camel-rest, camel-sjms, camel-spring-rabbitmq, camel-stomp, camel-tahu, camel-undertow e camel-xmpp.

Recomendações Atualize para a versão 4.10.2 para 4.10.x LTS. Atualize para a versão 4.8.5 para 4.8.x LTS. Atualize para a versão 3.22.4 para versões 3.x. Atualize para a versão 4.10.3 para 4.10.x LTS. Atualize para a versão 4.8.6 para 4.8.x LTS. Remova cabeçalhos em suas rotas do Camel. Use o EIP removeHeaders para filtrar cabeçalhos indesejados. Restrinja o acesso a componentes vulneráveis como camel-bean e camel-exec.