高危 Apache CXF Aegis databinding SSRF(CVE-2024-28752)

CVE编号

CVE-2024-28752

利用情况

暂无

补丁情况

官方补丁

披露时间

2024-03-15
漏洞描述
Apache CXF是一个开源的 WebService 框架,CXF可以用来构建和开发 WebService,并且支持多种协议。2024年3月15日,官方发布安全公告,披露 CVE-2024-28752。Apache CXF Aegis databinding SSRF漏洞,在使用了 Aegis DataBinding 的情况下可能存在SSRF漏洞,使用其他的 data bindings (包括默认的data bindings)则不受影响。

安全版本
Apache CXF 4.0.4
Apache CXF 3.6.3
Apache CXF 3.5.8
解决建议
官方已发布安全更新,建议升级至最新版本
参考链接
https://cxf.apache.org/security-advisories.data/CVE-2024-28752.txt
阿里云评分
7.1
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    传输被破坏
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-918 服务端请求伪造(SSRF)
阿里云安全产品覆盖情况