Apache Camel sérülékenység
Az Apache Camel egy széles körben használt nyílt forráskódú integrációs keretrendszer, amely lehetővé teszi különböző rendszerek és alkalmazások közötti adatcserét. Az Akamai csapat egy új sebezhetőséget, a CVE-2025-27636-ot fedezték fel az Apache Camelben, amely a hibás fejlécszűrésből ered, és potenciálisan távoli kódfuttatáshoz vezethet.
A probléma a fejlécszűrés kis- és nagybetű érzékenységéből adódik. Az Apache Camel korábbi verzióiban a szűrés csak a pontosan ‘Camel’, ‘camel’ vagy ‘org.apache.camel’ előtaggal kezdődő fejléceket blokkolta. Ez azt jelentette, hogy ha egy támadó például ‘CAmelHttpUri’ vagy ‘cAMELHttpResponseCode’ formátumú fejlécet küldött, azt a rendszer nem szűrte ki, lehetővé téve a rosszindulatú fejlécek befecskendezését.
Bár a sebezhetőség kihasználása bizonyos előfeltételekhez kötött, sikeres támadás esetén a támadó képes lehet tetszőleges kódot futtatni a célrendszeren. Ez különösen veszélyes lehet, ha a rendszer közvetlenül elérhető az interneten keresztül, és HTTP-alapú komponenseket használ, mint például a camel-servlet, camel-jetty, camel-undertow, camel-platform-http vagy camel-netty-http, amelyek a camel-bean komponenshez irányítják az adatokat.
