一、 漏洞 CVE-2025-66169 基础信息
漏洞信息
# Apache Camel Neo4j 蓝图注入漏洞
## 概述
Apache Camel camel-neo4j 组件存在 Cypher 注入漏洞,攻击者可利用该漏洞在目标 Neo4j 数据库中执行恶意 Cypher 查询。
## 影响版本
- Apache Camel 4.10.0 至 4.10.7
- Apache Camel 4.14.0 至 4.14.2
- Apache Camel 4.15.0 至 4.16.0(不包含 4.17.0)
## 细节
该漏洞存在于 camel-neo4j 组件中,由于未正确验证或转义用户输入的 Cypher 查询语句,导致攻击者可通过构造恶意输入执行任意 Cypher 命令,从而可能读取、修改或删除 Neo4j 数据库中的数据。
## 影响
- 可能导致数据库信息泄露
- 可能导致数据篡改或删除
- 可能被用于进一步的权限提升或内网渗透
**解决方案:** 建议用户升级至 4.10.8(4.10.x LTS)、4.14.3(4.14.x LTS)或 4.17.0 及以上版本。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache Camel Neo4j: Cypher injection vulnerability in Camel-Neo4j component
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Cypher Injection vulnerability in Apache Camel camel-neo4j component. This issue affects Apache Camel: from 4.10.0 before 4.10.8, from 4.14.0 before 4.14.3, from 4.15.0 before 4.17.0 Users are recommended to upgrade to version 4.10.8 for 4.10.x LTS and 4.14.3 for 4.14.x LTS and 4.17.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Apache Camel 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Apache Camel是美国阿帕奇(Apache)基金会的一套开源的基于Enterprise Integration Pattern(企业整合模式,简称EIP)的集成框架。该框架提供企业集成模式的Java对象(POJO)的实现,且通过应用程序接口来配置路由和中介的规则。 Apache Camel存在安全漏洞,该漏洞源于camel-neo4j组件存在Cypher注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-66169 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-66169 的情报信息
标题: Apache Camel Security Advisory - CVE-2025-66169 - Apache Camel -- 🔗来源链接
标签:vendor-advisory
神龙速读:- **SEVERITY**: MEDIUM - **SUMMARY**: Cypher injection vulnerability in Camel-Neo4j component - **VERSIONS AFFECTED**: Apache Camel 4.10.x before 4.10.8, Apache Camel 4.14.x before 4.14.3, Apache Camel 4.15.0 and 4.16.0. - **VERSIONS FIXED**: 4.10.8, 4.14.3 and 4.17.0 - **DESCRIPTION**: Camel neo4j component is vulnerable to Cypher injection: attackers can construct specific query statements to execute unintended operations in the Neo4j database. - **MITIGATION**: Users are recommended to upgrade to version 4.10.8 for 4.10.x LTS and 4.14.3 for 4.14.x LTS and 4.17.0. - **CREDIT**: This issue was discovered and reported by Ya0H4cker. - **REFERENCES**: - **PGP signed advisory data**: [CVE-2025-66169.txt.asc](CVE-2025-66169.txt.asc) - **Mitre CVE Entry**: [https://www.cve.org/CVERecord?id=CVE-2025-66169](https://www.cve.org/CVERecord?id=CVE-2025-66169)
- https://nvd.nist.gov/vuln/detail/CVE-2025-66169
四、漏洞 CVE-2025-66169 的评论
匿名用户
2026-01-15 06:08:24Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.