Krytyczna luka w Apache Camel-Mail umożliwiająca wstrzykiwanie nagłówków wiadomości
Krytyczna luka w Apache Camel-Mail pozwala na wstrzykiwanie nagłówków wiadomości. Zalecana natychmiastowa aktualizacja do wersji 4.19.0 lub nowszej.
- CVSS
- 9.4 CRITICAL
- EPSS
- 45.38%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- camel
Co wiadomo
Komponent Camel-Mail w Apache Camel jest podatny na wstrzykiwanie nagłówków wiadomości Camel. Brak odpowiedniej filtracji nagłówków przy odbiorze poczty pozwala atakującemu na manipulację zachowaniem tras w aplikacji Camel poprzez wysłanie specjalnie spreparowanych e-maili.
Wpływ biznesowy
Luka umożliwia atakującemu, który może dostarczyć wiadomość do monitorowanej skrzynki pocztowej, wstrzyknięcie nagłówków wpływających na działanie komponentów Camel downstream, co może prowadzić do nieautoryzowanych działań lub zakłóceń w przetwarzaniu danych. Organizacje korzystające z podatnych wersji Apache Camel powinny potraktować tę lukę jako krytyczną i priorytetowo wdrożyć aktualizacje.
Rekomendowane działania administratora
Zaleca się niezwłoczne przejście na Apache Camel w wersji 4.19.0 lub nowszej. Użytkownicy wersji LTS 4.18.x powinni zaktualizować do 4.18.1, a użytkownicy 4.14.x do 4.14.6. W przypadku braku możliwości natychmiastowej aktualizacji, warto ograniczyć ekspozycję komponentu Camel-Mail, monitorować logi pod kątem podejrzanych nagłówków oraz przeprowadzić przegląd polityk bezpieczeństwa poczty.