在 org.apache.xmlrpc.parser.XmlRpcResponseParser：Apache XML-RPC（也称为 ws-xmlrpc）库的 addResult 方法中发现不受信任的反序列化。恶意 XML-RPC 服务器会以 XML-RPC 客户端为目标，造成其执行任意代码。

预期收到服务器端异常的客户端需要将 enabledForExceptions 属性设置为 true，才能再次处理序列化的异常消息。

对于 Debian 8“Jessie”，已在版本 3.1.3-7+deb8u1 中修复此问题。

我们建议您升级 libxmlrpc3-java 程序包。

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下，尽可能进行自动清理和排版。

Guillaume Teissier 报告称，libxmlrpc3-java（Java 的 XML-RPC 实现）中的 XMLRPC 客户端确实对在 XMLRPC 错误响应消息的 faultCause 属性中序列化的服务器端异常执行了反序列化。恶意 XMLRPC 服务器可利用此缺陷，使用 Apache XMLRPC 客户端库的应用程序所具有的权限执行任意代码。

请注意，可能发生服务器端异常的客户端需要显式设置 enabledForExceptions 属性。

远程主机受到 GLSA-202401-26 中所述漏洞的影响（Apache XML-RPC: 多个漏洞）

  - Apache Archiva 中的 Apache XML-RPC（也称为 ws-xmlrpc）库 3.1.3 存在 XML 外部实体 (XXE) 漏洞，允许远程攻击者通过构建的 DTD 进行服务器端请求伪造 (SSRF) 攻击。(CVE-2016-5002)

  - 对于 Apache XML-RPC（又称为 ws-xmlrpc）库 3.1.3 版，当其在 Apache Archiva 中使用时，允许远程攻击者通过 <ex: serializable> 元素中构建的序列化 Java 对象来执行任意代码。
    (CVE-2016-5003)

  - 在 Apache XML-RPC（也称为 ws-xmlrpc）库的 org.apache.xmlrpc.parser.XmlRpcResponseParser:addResult 方法中发现不受信任的反序列化漏洞。恶意 XML-RPC 服务器会以 XML-RPC 客户端为目标，造成其执行任意代码。Apache XML-RPC 不再受到维护，此问题也不会得到修复。(CVE-2019-17570)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

因此，该应用程序受到 ALAS2-2023-2080 公告中提及的漏洞的影响。

  - 在 Apache XML-RPC（也称为 ws-xmlrpc）库的 org.apache.xmlrpc.parser.XmlRpcResponseParser:addResult 方法中发现不受信任的反序列化漏洞。恶意 XML-RPC 服务器会以 XML-RPC 客户端为目标，造成其执行任意代码。Apache XML-RPC 不再受到维护，此问题也不会得到修复。(CVE-2019-17570)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Redhat Enterprise Linux 6 / 7 主机上安装的程序包受到 RHSA-2020: 0310 公告中存在的多个漏洞影响。

  - xmlrpc: 从 XMLRPC 错误响应中的 failCause 反序列化服务器端异常 (CVE-2019-17570)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程 Ubuntu 16.04 LTS/18.04 LTS 主机上安装的程序包受到 USN-4496-1 公告中提及的漏洞的影响。

  - 在 org.apache.xmlrpc.parser.XmlRpcResponseParser：Apache XML-RPC（也称为 ws-xmlrpc）库的 addResult 方法中addResult 方法中发现不受信任的反序列化。恶意 XML-RPC 服务器会以 XML-RPC 客户端为目标，造成其执行任意代码。Apache XML-RPC 不再受到维护，此问题也不会得到修复。(CVE-2019-17570)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - 在 Apache XML-RPC（又称为 ws-xmlrpc）库的 org.apache.xmlrpc.parser.XmlRpcResponseParser:addResult 方法中发现不受信任的反序列化。恶意 XML-RPC 服务器会以 XML-RPC 客户端为目标，造成其执行任意代码。Apache XML-RPC 不再受到维护，此问题也不会得到修复。(CVE-2019-17570)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
133362	Debian DLA-2078-1：libxmlrpc3-java 安全更新	Nessus	Debian Local Security Checks	2020/1/31	2024/3/28	critical
133534	Debian DSA-4619-1：libxmlrpc3-java - 安全更新	Nessus	Debian Local Security Checks	2020/2/7	2024/3/28	critical
189291	GLSA-202401-26：Apache XML-RPC: 多个漏洞	Nessus	Gentoo Local Security Checks	2024/1/22	2024/1/22	critical
176895	Amazon Linux 2：xmlrpc (ALAS-2023-2080)	Nessus	Amazon Linux Local Security Checks	2023/6/8	2024/12/11	critical
170326	RHEL 6/7：rh-java-common-xmlrpc（RHSA-2020：0310)	Nessus	Red Hat Local Security Checks	2023/1/23	2024/11/7	critical
140593	Ubuntu 16.04 LTS / 18.04 LTS：Apache XML-RPC 漏洞 (USN-4496-1)	Nessus	Ubuntu Local Security Checks	2020/9/15	2024/8/27	critical
222763	Linux Distros 未修补的漏洞: CVE-2019-17570	Nessus	Misc.	2025/3/4	2025/3/4	critical

检测

插件搜索

critical

critical

critical

critical

critical

critical

critical