Apache Camel camel-neo4j 组件存在 Cypher 注入漏洞 · CVE-2025-66169
漏洞描述
Apache Camel 的 camel-neo4j 组件中存在 Cypher 注入漏洞。
受影响版本:
- Apache Camel 4.10.0 至 4.10.8 之前版本
- Apache Camel 4.14.0 至 4.14.3 之前版本
- Apache Camel 4.15.0 至 4.17.0 之前版本
修复版本:
- 4.10.8(针对 4.10.x LTS)
- 4.14.3(针对 4.14.x LTS)
- 4.17.0
建议用户升级至上述对应版本。
严重程度
中危
CVSS 评分:6.9 / 10
CVSS v4 基础指标
可利用性指标
- 攻击向量:网络
- 攻击复杂度:低
- 攻击要求:无
- 所需权限:无
- 用户交互:无
脆弱系统影响指标
- 机密性:无
- 完整性:低
- 可用性:无
下游系统影响指标
- 机密性:无
- 完整性:无
- 可用性:无
EPSS 评分
0.11%(30th 百分位数)—— 该评分估计未来30天内该漏洞被利用的概率。
弱点类型
- CWE-74:对下游组件输出中特殊元素的中和不当(注入)
- CWE-89:SQL 命令中特殊元素的中和不当(SQL 注入)
- CWE-943:数据查询逻辑中特殊元素的中和不当
参考链接
- nvd.nist.gov/vuln/detail…
- camel.apache.org/security/CV…
- www.openwall.com/lists/oss-s…
- apache/camel#20035
- apache/camel#20036
- apache/camel#20037
- apache/camel@66715d3
- apache/camel@723e2cd
- apache/camel@e46c4c0
glyoVzOLZA9nMhz/bDHDAWzfRfZ0dSZtQUalpUyOmxfldV0DMSeU+EDMZWsrfCzbkg5lFaafP1gLSTNevgPURA==
