Uma vulnerabilidade crítica, identificada como CVE-2025-29891, foi descoberta no Apache Camel, possivelmente permitindo que invasores injetem cabeçalhos maliciosos e alterem o funcionamento do sistema. A falha, que compromete componentes HTTP amplamente utilizados, exige ação imediata por parte dos desenvolvedores.
O Apache Camel, uma reconhecida estrutura de integração de código aberto, está vulnerável a ataques de injeção de cabeçalhos de mensagens por meio de parâmetros em requisições. Segundo o comunicado de segurança da Apache Software Foundation, “Essa vulnerabilidade está presente no filtro de cabeçalhos de entrada padrão do Camel, permitindo que um atacante adicione cabeçalhos específicos do Camel que, em alguns casos, podem modificar comportamentos, como no componente camel-bean ou camel-exec.”
Leia também
Essa falha é especialmente alarmante para aplicações expostas diretamente à internet via HTTP. Os invasores podem explorar a vulnerabilidade ao inserir parâmetros maliciosos em requisições HTTP, que são interpretados de maneira errada como cabeçalhos. “Se você possui aplicações Camel acessíveis pela internet via HTTP, um invasor pode incluir parâmetros nas requisições que serão indevidamente convertidos em cabeçalhos”, alerta o comunicado.
O CVE-2025-29891 afeta diversos componentes HTTP do Camel, incluindo camel-servlet, camel-jetty, camel-undertow, camel-platform-http e camel-netty-http. O amplo alcance da falha reforça sua gravidade e a necessidade de correção imediata.
A vulnerabilidade foi descoberta por Ryan Barnett, do Akamai Security Intelligence Group (SIG). A Akamai também divulgou detalhes técnicos e um código de exploração como prova de conceito, destacando ainda mais a seriedade do problema.
As versões afetadas do Apache Camel incluem:
• Apache Camel 4.10.0 até a versão 4.10.1
• Apache Camel 4.8.0 até a versão 4.8.4
• Apache Camel 3.10.0 até a versão 3.22.3
As versões corrigidas são:
• 3.22.4
• 4.8.5
• 4.10.2
A Apache Software Foundation recomenda fortemente que os usuários atualizem seus sistemas imediatamente.
Além da atualização, o comunicado sugere o uso do padrão removeHeaders Enterprise Integration Pattern (EIP) para bloquear cabeçalhos potencialmente perigosos. Em particular, filtrar cabeçalhos como ‘cAmel, cAMEL’ ou qualquer um que não comece com ‘Camel’, ‘camel’ ou ‘org.apache.camel’ pode adicionar uma camada extra de segurança.
+Mais
Falha de segurança no ChatGPT se torna alvo de ataques
Hackers usam técnicas sofisticada para rastrear vítimas no e-mail
Ação comprometida no GitHub expõe segredos de CI/CD em milhares de repositórios