Apache Camel 漏洞 CVE-2025-27636 详解与修复

什么是 CVE-2025-27636？

CVE-2025-27636 是 Apache Camel 中的一个安全漏洞，主要涉及到其默认过滤机制的缺陷。这个漏洞允许攻击者通过绕过过滤器来注入任意头部，这些头部可以用来调用 Bean 注册表中的方法，并支持使用简单表达式语言作为方法参数的一部分。

漏洞原理

1. 过滤机制的缺陷：

   • Apache Camel 的默认过滤机制仅阻止以 "Camel"、"camel" 或 "org.apache.camel" 开头的头部。
   • 攻击者可以通过改变这些头部的大小写来绕过这个过滤器。例如，使用 "cAmEl" 开头的头部。

2. 头部注入：

   • 一旦过滤器被绕过，攻击者就可以注入任意头部，这些头部可以被用来调用特定 Bean 中的方法。

3. 方法调用：

   • 攻击者可以利用注入的头部来调用 Bean 注册表中的方法，并使用特定的表达式语言作为参数。这使得攻击者能够执行任意代码或操作。

修复方法

为了修复 CVE-2025-27636，用户可以采取以下措施：

1. 升级 Apache Camel：

   • 4.10.x LTS：升级到版本 4.10.2。
   • 4.8.x LTS：升级到版本 4.8.5。
   • 3.x：升级到版本 3.22.4。

2. 手动移除不符合条件的头部：

   • 使用 removeHeaders EIP（企业集成模式）来过滤掉不以 "Camel"、"camel" 或 "org.apache.camel" 开头的头部。

示例代码

以下是使用 removeHeaders EIP 来移除不符合条件的头部的示例代码：

java
from("direct:start")
    .removeHeaders("^(?!Camel|camel|org\.apache\.camel).*")
    .to("direct:end");

这个代码片段使用正则表达式来移除不以 "Camel"、"camel" 或 "org.apache.camel" 开头的头部。

总结

CVE-2025-27636 是一个严重的漏洞，通过升级 Apache Camel 或手动移除不符合条件的头部，可以有效地防止攻击。用户应尽快采取修复措施以确保系统安全。