Apache Camel prior to 2.24.0 contains an XML external entity injection (XXE) vulnerability (CWE-611) due to using an outdated vulnerable JSON-lib library. This affects only the camel-xmljson component, which was removed.
В этом описании специально упоминается компонент camel-xmljson. Наша организация использует инструменты автоматического сканирования для обнаружения уязвимостей в библиотеках с открытым исходным кодом - в настоящее время она помечает все приложения с зависимостями Apache Camel <2.24.0, включая приложения, которые не содержат никакой версии camel-xmljson. Я пытаюсь определить, является ли это правильной экспозицией. Есть ли вероятность подвергнуться атаке XXE, если приложение не включает camel-xmljson. </p>