首页 文章 精选 留言 我的

Apache CXF Aegis DataBinding 存在 SSRF 漏洞

2024-03-16 435

漏洞描述

Apache CXF 是开源的Web服务框架,Aegis databinding 是将 XML/JSON 数据和对象进行转换的数据绑定功能。

受影响版本中,由于 AttachmentUtil 类在处理附件时会自动请求附件中 xop:include 元素中的 href 链接,攻击者可在附件 id 中构造恶意的 href 参数进行SSRF攻击,进行内网探测、访问内部系统或资源。

补丁版本通过对 xop:include 元素中的 href 链接过滤修复此漏洞。

漏洞名称 Apache CXF Aegis DataBinding 存在SSRF漏洞
漏洞类型 SSRF
发现时间 2024-03-15
漏洞影响广度
MPS编号 MPS-lhqv-numb
CVE编号 CVE-2024-28752
CNVD编号 -

影响范围

org.apache.cxf:cxf-rt-databinding-aegis@[4.0.0, 4.0.4)

org.apache.cxf:cxf-rt-databinding-aegis@[3.6.0, 3.6.3)

org.apache.cxf:cxf-rt-databinding-aegis@(-∞, 3.5.8)

修复方案

将 org.apache.cxf:cxf-rt-databinding-aegis 升级至 3.5.8 及以上版本

将 org.apache.cxf:cxf-rt-databinding-aegis 升级至 4.0.4 及以上版本

将 org.apache.cxf:cxf-rt-databinding-aegis 升级至 3.6.3 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-lhqv-numb

https://cxf.apache.org/security-advisories.data/CVE-2024-28752.txt

https://nvd.nist.gov/vuln/detail/CVE-2024-28752

https://github.com/apache/cxf/commit/659a8f9b10bc8037774c0399e61e77e3955fd230

    

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具: https://www.murphysec.com/?src=osc

免费情报订阅: https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

上一篇 下一篇
优秀的个人博客,低调大师

微信关注我们

原文链接:https://www.oschina.net/news/283304

转载内容版权归作者及来源网站所有!

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Dataease jdbc 反序列化漏洞

漏洞描述 Dataease是一款开源的数据可视化分析工具。 受影响版本中,由于未对用户输入的数据库连接参数做有效过滤,具有 Dataease 登陆权限的攻击者可通过使用URL编码 jdbc url 中的 autoDeserialize、allowUrlInLocalInfile参数绕过 jdbcUrl 检测,进而读取 MySQL 客户端任意文件或反序列化恶意代码。 漏洞名称 Dataease jdbc 反序列化漏洞 漏洞类型 反序列化 发现时间 2024-02-29 漏洞影响广度 一般 MPS编号 MPS-j54s-zgbo CVE编号 CVE-2024-23328 CNVD编号 - 影响范围 dataease@(-∞, 1.18.15) io.dataease:core-backend@(-∞, 1.18.15) 修复方案 将组件 dataease 升级至 1.18.15 及以上版本 将 io.dataease:core-backend 升级至 1.18.15 及以上版本 参考链接 https://www.oscs1024.com/hd/MPS-j54s-zgbo https://n...
2024-03-01
317
上一篇

Apache ZooKeeper persistent watchers 敏感信息泄露漏洞

漏洞描述 Apache ZooKeeper是一个开源的分布式协调服务,persistent watchers 是对节点的监控机制。 受影响版本中,由于 addWatch 命令缺少 ACL 检查,未经身份验证的攻击者可利用通过 addWatch 命令将 persistent watchers 添加到攻击者已经访问的父节点来监视子 znodes,进而获取 znode 的路径信息(可能包含用户名或登录ID等敏感信息)。 漏洞名称 Apache ZooKeeper persistent watchers敏感信息泄露漏洞 漏洞类型 未授权敏感信息泄露 发现时间 2024-03-15 漏洞影响广度 一般 MPS编号 MPS-kfgl-etid CVE编号 CVE-2024-23944 CNVD编号 - 影响范围 org.apache.zookeeper:zookeeper@[3.9.0, 3.9.2) org.apache.zookeeper:zookeeper@[3.6.0, 3.8.4) org.apache.zookeeper:zookeeper-it@[3.9.0, 3.9.2) org....
2024-03-17
484
下一篇

相关文章

发表评论

资源下载

更多资源
优质分享App

优质分享App

近一个月的开发和优化,本站点的第一个app全新上线。该app采用极致压缩,本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

时间: 2025-12-03 大小: 4.36MB 下载: 23次
Oracle

Oracle

Oracle Database,又名Oracle RDBMS,或简称Oracle。是甲骨文公司的一款关系数据库管理系统。它是在数据库领域一直处于领先地位的产品。可以说Oracle数据库系统是目前世界上流行的关系数据库管理系统,系统可移植性好、使用方便、功能强,适用于各类大、中、小、微机环境。它是一种高效率、可靠性好的、适应高吞吐量的数据库方案。

时间: 2025-12-03 大小: 2.6GB 下载: 112次
Apache Tomcat

Apache Tomcat

Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。因为Tomcat 技术先进、性能稳定,而且免费,因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可,成为目前比较流行的Web 应用服务器。

时间: 2025-12-03 大小: 10MB 下载: 35次
Sublime Text

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能,例如代码缩略图,Python的插件,代码段等。还可自定义键绑定,菜单和工具栏。Sublime Text 的主要功能包括:拼写检查,书签,完整的 Python API , Goto 功能,即时项目切换,多选择,多窗口等等。Sublime Text 是一个跨平台的编辑器,同时支持Windows、Linux、Mac OS X等操作系统。

时间: 2025-12-03 大小: 9.84MB 下载: 39次
手机查看

扫码在手机上查看文章

扫描二维码,手机阅读更方便

热门标签
Nacos HarmonyOS NEXT DeepSeek SpringCloud Jdk25 ChatGPT 服务网格 Docker SpringBoot K8s Redis

欢迎您!

登录后,您将获得更多功能!

热门文章
联系我们

有任何问题或合作意向欢迎联系我们

Email: 99873273@qq.com

QQ: 99873273