高危 Apache SOAP RPCRouterServlet 反序列化代码执行漏洞(CVE-2022-45378)

CVE编号

CVE-2022-45378

利用情况

暂无

补丁情况

没有补丁

披露时间

2022-11-16
漏洞描述
Apache SOAP是美国阿帕奇(Apache)基金会的用作客户端库来调用其他地方可用的 SOAP 服务,也可以用作服务器端工具来实现 SOAP 可访问服务。

Apache SOAP存在代码问题漏洞,该漏洞源于RPCRouterServlet无需身份验证即可使用,这使得攻击者有可能在满足特定条件的类路径上调用方法,根据类路径上可用的类可能导致任意远程代码执行。

Apache SOAP 官方已停止支持,建议更新代码,去除该依赖。
解决建议
Apache SOAP 官方已停止支持,建议更新代码,使用Apache CXF (https://cxf.apache.org) 或者 Apache Axis (https://axis.apache.org)
参考链接
http://www.openwall.com/lists/oss-security/2022/11/14/4
https://cxsecurity.com/cveshow/CVE-2022-45378/
https://lists.apache.org/thread/g4l64s283njhnph2otx7q4gs2j952d31
https://nvd.nist.gov/vuln/detail/CVE-2022-45378
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 apache soap * Up to
(including)
2.3
阿里云评分
8.2
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    未验证
  • 补丁情况
    没有补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    无影响
  • 服务器危害
    服务器失陷
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-287 认证机制不恰当
CWE-306 关键功能的认证机制缺失
阿里云安全产品覆盖情况