Apache Camel ExchangeCreatedEvent 信息泄漏 (CVE-2024-22371)

漏洞类型 未授权敏感信息泄露 发现时间 2024-02-27 漏洞等级 低危
MPS编号 MPS-ar0g-otwm CVE编号 CVE-2024-22371 漏洞影响广度

漏洞危害

OSCS 描述
Apache Camel 是开源的系统间数据交互集成框架。EventFactory是Apache Camel中的一个组件,用于创建和发布事件。
由于未对 EventFactory 和 ExchangeCreatedEvent 接收的数据进行充分验证,攻击者可以通过构建恶意的 EventFactory 并提供自定义的 ExchangeCreatedEvent,进而泄露系统中敏感数据。
参考链接:https://www.oscs1024.com/hd/MPS-ar0g-otwm

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.apache.camel:camel-core [3.22.0, 3.22.1) 升级 将组件 org.apache.camel:camel-core 升级至 3.22.1 及以上版本
org.apache.camel:camel-core [4.0.0, 4.0.4) 升级 将 org.apache.camel:camel-core 升级至 4.0.4 及以上版本
org.apache.camel:camel-core [3.21.0, 3.21.4) 升级 将 org.apache.camel:camel-core 升级至 3.21.4 及以上版本
org.apache.camel:camel-core [4.1.0, 4.4.0) 升级 将 org.apache.camel:camel-core 升级至 4.4.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-ar0g-otwm

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-ar0g-otwm

https://nvd.nist.gov/vuln/detail/CVE-2024-22371

https://camel.apache.org/security/CVE-2024-22371.html

(0)
上一篇 2024年2月27日 下午2:00
下一篇 2024年2月28日 下午12:00

相关推荐

  • 泛微 e-cology <10.58.3 任意文件上传漏洞

    漏洞类型 任意文件上传 发现时间 2023/7/26 漏洞等级 严重 MPS编号 MPS-rkja-iwgs CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 泛微协同管理应用平台(e-cology)是一套企业大型协同管理平台。泛微 e-cology 10.58.3之前版本存在任意文件上传漏洞,由于上传接口身份认证缺失,未经过身份验证的…

    2023年8月11日
    0
  • Kyverno 镜像摘要验证不当 (CVE-2023-47630)

    漏洞类型 对数据真实性的验证不充分 发现时间 2023-11-15 漏洞等级 高危 MPS编号 MPS-pahu-invz CVE编号 CVE-2023-47630 漏洞影响广度 小 漏洞危害 OSCS 描述 Kyverno是专为Kubernetes设计的策略引擎。 由于Kyverno的策略引擎涉及从容器镜像仓库中拉取镜像,并且没有验证镜像的来源。攻击者可以…

    2023年11月16日
    0
  • glibc __vsyslog_internal 本地提权漏洞 (CVE-2023-6246)

    漏洞类型 缓冲区溢出 发现时间 2024-01-31 漏洞等级 高危 MPS编号 MPS-imzk-oyuj CVE编号 CVE-2023-6246 漏洞影响广度 广 漏洞危害 OSCS 描述 glibc(又名GNU C Library,libc6)是按照LGPL许可协议发布的开源免费C标准库。 由于 __vsyslog_internal 函数未正确处理打印…

    2024年2月1日
    0
  • Gitlab preview_markdown端点存在ReDos漏洞(CVE-2023-3424)

    漏洞类型 ReDoS 发现时间 2023/6/30 漏洞等级 高危 MPS编号 MPS-o8z4-ikvq CVE编号 CVE-2023-3424 漏洞影响广度 广 漏洞危害 OSCS 描述 GitLab 是一个开源的代码托管平台。受影响版本中由于 EpicReferenceFilter 未对 Markdown 字段有效过滤,攻击者可将恶意负载发送到 pre…

    2023年8月31日
    0
  • Smartbi 商业智能BI软件权限绕过漏洞【细节公开】

    漏洞类型 通过用户控制密钥绕过授权机制 发现时间 2023/8/1 漏洞等级 严重 MPS编号 MPS-el01-w76v CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 Smartbi 是一款商业智能应用,提供了数据集成、分析、可视化等功能,帮助用户理解和使用他们的数据进行决策。在 Smartbi 受影响版本中存在权限绕过问题,未授…

    2023年8月11日
    0