Apache CXF < 4.1.7 / 4.2.x < 4.2.2 多种漏洞
high Nessus 插件 ID 321189
语言:
简介
Apache CXF 受到多种漏洞的影响。描述
远程主机上安装的 Apache CXF 版本低于或4.2.x4.2.2低于 4.1.7 . 因此,该应用程序受到多个漏洞的影响,其中包括:- 如果攻击者可操纵 JCA 部署描述符或运行时激活参数,JCA 集成模块中的 JNDI 注入漏洞将允许代码执行。
(CVE-2026-50633)
- 如果允许不受信任的用户为 Apache CXF 配置 JMS,则不 CVE-2026-44417 完整的修复会允许代码执行。(CVE-2026-50632)
- 反序列化期间对消息中附件标头的数量没有限制,可导致不受控制的资源消耗或拒绝服务。(CVE-2026-50645)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 Apache CXF 版本或4.2.2更高版本4.1.7。另见
https://cxf.apache.org/security-advisories.html
https://lists.apache.org/thread/1czhgovkgzdkyp3t61wthn0foogh2grf
https://lists.apache.org/thread/740ghch5z5y675cn2kzgtyo5k37n6qcw
https://lists.apache.org/thread/24zb7cqcvykhwm0j797dmdq25s61mj93
https://lists.apache.org/thread/s83t3x4r626o9h8rt0ryr1w7w53l1vv8
https://lists.apache.org/thread/9nfwh9d3m4kznxrk1mz98hl0jml18k0p
https://lists.apache.org/thread/bt7vnjzzkpd6vdhkxv103poor1jy5trm
https://lists.apache.org/thread/ydzj8m5mqmjy13xgyj9mkk9hfff63qq7
https://lists.apache.org/thread/xw95po30p8th58ms1no6b0f2375cql00
插件详情
严重性: High
ID: 321189
文件名: apache_cxf_4_2_2.nasl
版本: 1.2
类型: Local
代理: windows, macosx, unix
系列: Misc.
发布时间: 2026/6/16
最近更新时间: 2026/6/17
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 5.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS 分数来源: CVE-2026-50645
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:apache:cxf
必需的 KB 项: installed_sw/Apache CXF
易利用性: No known exploits are available
补丁发布日期: 2026/6/11
漏洞发布日期: 2026/6/11
参考资料信息
CVE: CVE-2026-50623, CVE-2026-50629, CVE-2026-50630, CVE-2026-50631, CVE-2026-50632, CVE-2026-50633, CVE-2026-50634, CVE-2026-50645