Platform
java
Component
org.apache.cxf:cxf-rt-databinding-aegis
Opgelost in
4.0.4, 3.6.3, 3.5.8
3.5.8
CVE-2024-28752 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in de Aegis DataBinding van Apache CXF. Deze kwetsbaarheid stelt aanvallers in staat om onbedoeld toegang te krijgen tot interne bronnen en webservices. De kwetsbaarheid treft versies van Apache CXF vóór 4.0.4, 3.6.3 en 3.5.8. Een upgrade naar versie 3.5.8 of hoger is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Aanvallers kunnen interne systemen en diensten benaderen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot data-exfiltratie, configuratie wijzigingen, of zelfs het verkrijgen van toegang tot gevoelige databases. De kwetsbaarheid is specifiek gerelateerd aan de Aegis DataBinding en treft niet andere databindingen, zoals de standaard databinding. De impact is vergelijkbaar met andere SSRF kwetsbaarheden, waarbij een interne service misbruikt wordt om externe requests uit te voeren namens de server.
CVE-2024-28752 is openbaar bekend en heeft een CRITICAL CVSS score. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de SSRF aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst exploits zullen verschijnen. De kwetsbaarheid is toegevoegd aan de CISA KEV catalogus, wat de urgentie van mitigatie onderstreept. De publicatiedatum van de CVE is 2024-03-15.
Organizations using Apache CXF for web service integration, particularly those relying on the Aegis DataBinding for data serialization and deserialization, are at risk. This includes applications that process data from external sources without proper validation. Shared hosting environments where multiple applications share the same CXF instance are also particularly vulnerable.
• java / server:
ps -ef | grep cxf• java / server:
find / -name "cxf-rt-databinding-aegis*.jar" -print• generic web:
curl -I <affected_cxf_endpoint>• generic web:
grep -r "Aegis DataBinding" /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.59% (69% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2024-28752 is het upgraden van Apache CXF naar versie 3.5.8 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) om SSRF-aanvallen te blokkeren. Configureer de WAF om requests met onverwachte of potentieel schadelijke interne URL's te filteren. Daarnaast kan het beperken van de toegestane URL's in de Aegis DataBinding een tijdelijke workaround bieden. Controleer de CXF configuratie om te verzekeren dat de Aegis DataBinding niet onnodig wordt gebruikt. Na de upgrade, verifieer de fix door te proberen een interne resource te benaderen via de Aegis DataBinding; dit zou moeten mislukken.
Werk Apache CXF bij naar versie 4.0.4, 3.6.3 of 3.5.8 of hoger. Dit corrigeert de SSRF kwetsbaarheid in de Aegis DataBinding. Indien een directe update niet mogelijk is, overweeg dan het uitschakelen of vermijden van het gebruik van de Aegis DataBinding.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-28752 is a critical SSRF vulnerability affecting Apache CXF versions up to 3.5.7, allowing attackers to make unauthorized requests through the Aegis DataBinding.
You are affected if you are using Apache CXF versions 3.5.7 or earlier and utilizing the Aegis DataBinding for data processing.
Upgrade Apache CXF to version 3.5.8 or later to resolve the SSRF vulnerability. Consider temporary workarounds like restricting outbound network access if immediate upgrade is not possible.
While no public exploits are currently available, the SSRF nature of the vulnerability suggests a high likelihood of exploitation in the near future.
Refer to the Apache CXF security page for the latest information and advisory regarding CVE-2024-28752: https://cxf.apache.org/security-advisories.html
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.