阿里云漏洞库
高危漏洞
CVE 漏洞库
非CVE漏洞库
安全社区
搜索
NVD
应用程序
CVE-2022-45378
高危
Apache SOAP RPCRouterServlet 反序列化代码执行漏洞(CVE-2022-45378)
CVE编号
CVE-2022-45378
利用情况
暂无
补丁情况
没有补丁
披露时间
2022-11-16
漏洞描述
Apache SOAP是美国阿帕奇(Apache)基金会的用作客户端库来调用其他地方可用的 SOAP 服务,也可以用作服务器端工具来实现 SOAP 可访问服务。
Apache SOAP存在代码问题漏洞,该漏洞源于RPCRouterServlet无需身份验证即可使用,这使得攻击者有可能在满足特定条件的类路径上调用方法,根据类路径上可用的类可能导致任意远程代码执行。
Apache SOAP 官方已停止支持,建议更新代码,去除该依赖。
解决建议
Apache SOAP 官方已停止支持,建议更新代码,使用Apache CXF (https://cxf.apache.org) 或者 Apache Axis (https://axis.apache.org)
参考链接
http://www.openwall.com/lists/oss-security/2022/11/14/4
https://cxsecurity.com/cveshow/CVE-2022-45378/
https://lists.apache.org/thread/g4l64s283njhnph2otx7q4gs2j952d31
https://nvd.nist.gov/vuln/detail/CVE-2022-45378
受影响软件情况
#
类型
厂商
产品
版本
影响面
1
运行在以下环境
应用
apache
soap
*
Up to
(including)
2.3
阿里云评分
8.2
攻击路径
远程
攻击复杂度
容易
权限要求
无需权限
影响范围
全局影响
EXP成熟度
未验证
补丁情况
没有补丁
数据保密性
数据泄露
数据完整性
无影响
服务器危害
服务器失陷
全网数量
N/A
CWE-ID
漏洞类型
CWE-287
认证机制不恰当
CWE-306
关键功能的认证机制缺失
阿里云安全产品覆盖情况
云安全中心
WAF
云防火墙
RASP
Exp相关链接
×