漏洞信息
# Apache CXF 使用 Aegis 数据绑定时存在 SSRF 漏洞
## 概述
Apache CXF在某些版本中存在SSRF漏洞,该漏洞利用Aegis DataBinding,允许攻击者对接受至少一个参数的Web服务执行SSRF攻击。
## 影响版本
- Apache CXF 4.0.4之前的版本
- Apache CXF 3.6.3之前的版本
- Apache CXF 3.5.8之前的版本
## 细节
该漏洞存在于Apache CXF中,版本低于4.0.4,3.6.3及3.5.8的版本均受到影响。攻击者可以通过利用Aegis DataBinding来对任何接受参数的Web服务执行SSRF攻击。其他数据绑定(包括默认数据绑定)不受此漏洞影响。
## 影响
- 允许攻击者通过SSRF攻击,对指定的Web服务执行攻击。
- 受影响的版本包括Apache CXF 4.0.4之前的版本,3.6.3之前的版本,3.5.8之前的版本。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Apache CXF SSRF Vulnerability using the Aegis databinding
漏洞描述信息
A SSRF vulnerability using the Aegis DataBinding in versions of Apache CXF before 4.0.4, 3.6.3 and 3.5.8 allows an attacker to perform SSRF style attacks on webservices that take at least one parameter of any type. Users of other data bindings (including the default databinding) are not impacted.
CVSS信息
N/A
漏洞类别
服务端请求伪造(SSRF)
漏洞标题
Apache CXF 代码问题漏洞
漏洞描述信息
Apache CXF是美国阿帕奇(Apache)基金会的一个开源的Web服务框架。该框架支持多种Web服务标准、多种前端编程API等。 Apache CXF存在代码问题漏洞,该漏洞源于存在服务器请求伪造(SSRF)漏洞。受影响的产品和版本:Apache CXF 4.0.4之前版本,3.6.3之前版本,3.5.8之前版本。
CVSS信息
N/A
漏洞类别
代码问题