Содержимое
Верблюжья ступня В Apache Camel обнаружены две критические дыры с возможностью удалённого выполнения кода без аутентификации. Новые дыры поражают Apache Camel версий 4.10, 4.8 и 3.10-20. Проблема в том, что фильтр внутренних заголовков работает с учётом регистра, проверяя точные совпадения «Camel», «camel» и org.apache.camel. Но сами заголовки применяются без учёта регистра. Злоумышленник может отправить CAmelExecCommandExecutable вместо CamelExecCommandExecutable, обойти фильтр и выполнить произвольные команды через компонент camel-exec. Akamai обнаружили обход первого патча через параметры URL и POST, что привело к появлению второго CVE. Palo Alto Networks заблокировала уже 126 тысяч попыток эксплуатации только в марте. Публичные PoC коды делают атаки массовыми. Apache выпустила патчи для всех затронутых версий. НеКасперский