Severe Apache Camel Exploit (CVE-2025-29891) Disclosed – Technical Details and PoC Released
2025/03/17 SecurityOnline — Apache Camel に発見された、深刻度の高い脆弱性 CVE-2025-29891 の悪用に成功した攻撃者は、悪意のヘッダーの挿入を達成し、アプリケーションの動作を操作する機会を手にする。この、広く使用される HTTP コンポーネントに影響を及ぼす脆弱性により、開発者の速やかな対応が促される。
人気の OSS統合フレームワーク Apache Camel には、リクエスト・パラメータを介したメッセージ・ヘッダー・インジェクションの脆弱性が存在する。Apache Software Foundation のセキュリティ・アドバイザリには、「この脆弱性は、Camel のデフォルト受信ヘッダー・フィルタ内に存在する。攻撃者は、Camel 固有のヘッダーの取り込みが可能であるため、camel-bean コンポーネントや camel-exec コンポーネントといった、一部の Camel コンポーネントの動作を操作できるようになる」と記されている。
この脆弱性が特に懸念されるのは、HTTP 経由でインターネットにダイレクトに公開されているアプリケーションのケースである。攻撃者は、HTTP リクエストに悪意のパラメータを取り込み、それをヘッダーに変換することで、この欠陥を悪用できる。
アドバイザリには、「HTTP 経由でインターネットにダイレクト接続された Camel アプリケーションのケースにおいて、送信される HTTP リクエストにパラメータを取り込む攻撃者により、それがヘッダーに変換される可能性が生じる」と記されている。
脆弱性 CVE-2025-29891 が影響を及ぼす範囲は、広く使用される複数の Camel HTTP コンポーネントである、camel-servlet/camel-jetty/camel-undertow/camel-platform-http/camel-netty-http などである。その広範な影響が浮き彫りにするのは、この欠陥の重大性とパッチ適用の緊急性である。
この脆弱性は、Akamai Security Intelligence Group (SIG) の Ryan Barnett により発見された。 Akamai は、技術的な詳細と PoC エクスプロイト・コードも公開しているため、この問題の深刻さが、さらに増大している。
影響を受ける Apache Camel のバージョンは、以下のとおりである:
- Apache Camel 4.10.0
- Apache Camel 4.8.0
- Apache Camel 3.10.0
パッチが適用されたバージョンは、以下のとおりである:
- Apache Camel 4.10.2
- Apache Camel 4.8.5
- Apache Camel 3.22.4
Apache Software Foundation は、ユーザーに対して強く推奨するのは、パッチが適用されたバージョンへと、速やかにアップグレードすることである。
このアップグレードに加えて、アドバイザリが推奨するのは、removeHeaders Enterprise Integration Pattern (EIP) を使用して、潜在的な悪意のヘッダーを除外することである。具体的には、”cAmel”/”cAMEL” などのヘッダーや、”Camel”/”camel”/”org.apache.camel” で始まらないヘッダーをフィルタリングすることで、追加の保護レイヤーが構築されるという。
OSS の統合フレームワークである Apache Camel に、深刻度 High の脆弱性が発生しています。同製品について、先週の 2025/03/12 にも、「Apache Camel の脆弱性 CVE-2025-27636 が FIX:PoC とスキャン・スクリプトの提供」という記事をポストしています。こちらの脆弱性も、PoC エクスプロイトが公開されていますので、ご利用のチームは、十分にご注意下さい。よろしければ、Apache で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.