近日,我司监测到Apache发布安全公告,修复了2个存在于Apache CXF中的安全漏洞。
Apache CXF是一个开源服务框架。CXF帮助你使用前端编程API构建和开发服务,比如JAX-WS和JAX-RS。这些服务可以使用多种协议,如SOAP、XML/HTTP、RESTful HTTP或CORBA,并通过多种传输协议工作,如HTTP、JMS或JBI。
漏洞详情如下:
1.CVE-2022-46364 Apache CXF存在SSRF漏洞
风险等级:高危
漏洞类型:SSRF
漏洞简介:该漏洞影响启用MTOM的SOAP或JAXRS的web服务,Unmarshaller类允许XOP协议标签中的href属性接受任何协议类型的属性值。因此用户的恶意输入可能会触发服务器请求伪造(SSRF)攻击,攻击者可利用该漏洞进行内网扫描甚至访问内部系统数据。
2.CVE-2022-46363 Apache CXF存在远程目录列出漏洞
风险等级:中危
漏洞类型:配置错误
漏洞简介:当CXFServlet同时配置了静态资源列表和重定向查询检查属性时,攻击者可利用该漏洞获取目标目录列表敏感信息。
影响版本:
安全版本:
修复建议:
官方已经针对漏洞发布了补丁更新,下载地址如下:
https://cxf.apache.org/download.html
评论已关闭。
豫公网安备 41010502004035号 
