警惕 Apache Camel 漏洞 攻击者借此能注入任意标头

文章预览

Apache Camel 中近期披露的一个安全漏洞（编号为 CVE - 2025 - 27636），已引发整个网络安全社区的高度警惕。该漏洞允许攻击者向 Camel Exec 组件配置注入任意标头，进而有可能实现远程代码执行（RCE）。 受此漏洞影响的版本众多，涵盖 3.10.0 至 3.22.3、4.8.0 至 4.8.4 以及 4.10.0 至 4.10.1 等多个版本。此次漏洞充分凸显了 Apache Camel 中配置错误的标头过滤所带来的巨大危险。Apache Camel 作为一款广泛应用的集成框架，其主要作用是连接各类系统和应用程序。 安全专家强烈敦促正在使用易受攻击版本的组织，立即对其系统进行修补，以此降低风险。根据 Github 的报告，该漏洞的根源在于 Camel 框架对标头的处理出现错误，尤其是在标头命名大小写发生变化的情况下。利用这一漏洞，攻击者能够绕过过滤器，覆盖 Camel 配置中指定的静态命令。 概念验证（PoC） 一个存 ………………………………