Apache CXF <3.5.5 SSRF 漏洞
漏洞描述 Apache CXF 是一款兼容 JAX-WS 的开源服务框架。 Apache CXF 受影响版本的 AttachmentUtil 类在解析 MTOM请求中 XOP 的 href 属性时,由于 CXF 服务允许接受至少一个任何类型参数,这可能导致用户的恶意输入可以触发服务器请求伪造(SSRF)攻击。 攻击者可利用该漏洞进行内网扫描甚至访问内部系统数据。 漏洞名称 Apache CXF <3.5.5 SSRF 漏洞 漏洞类型 SSRF 发现时间 2022-12-14 漏洞影响广度 一般 MPS编号 MPS-2022-66588 CVE编号 CVE-2022-46364 CNVD编号 - 影响范围 org.apache.cxf:cxf-core@[3.5.0, 3.5.5) org.apache.cxf:cxf-core@(-∞, 3.4.10) 修复方案 将组件 org.apache.cxf:cxf-core 升级至 3.5.5 及以上版本 将组件 org.apache.cxf:cxf-core 升级至 3.4.10 及以上版本 参考链接 https://www.oscs...
