CRITICALCVE-2024-28752CVSS 9.3

Apache CXF の Aegis DataBinding における SSRF の脆弱性

プラットフォーム

java

コンポーネント

org.apache.cxf:cxf-rt-databinding-aegis

修正版

4.0.4, 3.6.3, 3.5.8

3.5.8

AI Confidence: highNVDEPSS 0.6%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-28752は、Apache CXFのAegis DataBindingにおいて発生するサーバーサイドリクエストフォージェリ（SSRF）の脆弱性です。この脆弱性により、攻撃者はパラメータを介して内部リソースにアクセスし、機密情報を取得したり、システムに影響を与えたりする可能性があります。影響を受けるバージョンはApache CXF 3.5.7以前です。3.5.8へのアップデートで修正されています。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者がApache CXFが処理するリクエストを操作することで、内部ネットワーク上の機密情報にアクセスすることを可能にします。例えば、内部APIエンドポイントへのアクセス、クラウドメタデータサービスの取得、または他の内部システムへの攻撃の足がかりとして利用される可能性があります。攻撃者は、認証されていない状態で内部リソースにアクセスし、データの漏洩や改ざん、さらにはシステム全体の制御を奪うリスクがあります。この脆弱性は、特に内部ネットワークへのアクセス権限を持つ攻撃者にとって、非常に危険です。

悪用の状況

CVE-2024-28752は、2024年3月15日に公開されました。現時点では、公開されているPoC（Proof of Concept）は確認されていませんが、SSRF脆弱性であるため、攻撃者による悪用が懸念されます。CISAのKEV（Known Exploited Vulnerabilities）カタログへの登録状況は確認されていません。NVD（National Vulnerability Database）の情報も参照し、最新の動向を把握することが重要です。

リスク対象者翻訳中…

Organizations using Apache CXF for web service integration, particularly those relying on the Aegis DataBinding for data serialization and deserialization, are at risk. This includes applications that process data from external sources without proper validation. Shared hosting environments where multiple applications share the same CXF instance are also particularly vulnerable.

検出手順翻訳中…

• java / server:

ps -ef | grep cxf

• java / server:

find / -name "cxf-rt-databinding-aegis*.jar" -print

• generic web:

curl -I <affected_cxf_endpoint>

• generic web:

 grep -r "Aegis DataBinding" /var/log/apache2/access.log

攻撃タイムライン

2024-03-15Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.59% (69% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントorg.apache.cxf:cxf-rt-databinding-aegis

ベンダーosv

影響範囲修正版

0 – 4.0.4, 3.6.3, 3.5.84.0.4, 3.6.3, 3.5.8

—3.5.8

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2024-03-08
公開日2024-03-15
更新日2026-02-04
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、まずApache CXFをバージョン3.5.8以上にアップデートすることを推奨します。アップデートが困難な場合は、入力検証を強化し、Aegis DataBindingの使用を制限するなどの回避策を検討してください。WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御するルールを設定することも有効です。また、ネットワークセグメンテーションを実施し、内部リソースへのアクセスを制限することで、攻撃の影響範囲を限定できます。

修正方法

Apache CXF を 4.0.4、3.6.3、または 3.5.8 以降のバージョンにアップデートしてください。これにより、Aegis DataBinding における SSRF の脆弱性が修正されます。直ちにアップデートできない場合は、Aegis DataBinding の無効化または使用を避けることを検討してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-28752 — SSRF in Apache CXF DataBindingとは何ですか？

CVE-2024-28752は、Apache CXFのAegis DataBindingにおいて、攻撃者が内部リソースにアクセスできるSSRFの脆弱性です。

CVE-2024-28752 in Apache CXF DataBindingに影響を受けますか？

Apache CXFのバージョンが3.5.7以前を使用している場合、影響を受けます。3.5.8以上にアップデートしてください。

CVE-2024-28752 in Apache CXF DataBindingを修正するにはどうすればよいですか？

Apache CXFをバージョン3.5.8以上にアップデートすることを推奨します。

CVE-2024-28752は積極的に悪用されていますか？

現時点では公開PoCは確認されていませんが、SSRF脆弱性であるため、悪用が懸念されます。

CVE-2024-28752に関するApache CXFの公式アドバイザリはどこで入手できますか？

Apache CXFの公式アドバイザリは、Apacheのセキュリティページで確認できます。