平台
java
组件
org.apache.cxf:cxf-rt-databinding-aegis
修复版本
4.0.4, 3.6.3, 3.5.8
3.5.8
CVE-2024-28752 是 Apache CXF Aegis DataBinding 中的一个服务器端请求伪造 (SSRF) 漏洞。该漏洞允许攻击者通过利用数据绑定参数发起 SSRF 攻击,从而访问内部网络资源和服务。受影响的版本包括 Apache CXF 3.5.7 及更早版本。建议升级至 3.5.8 版本以解决此安全问题。
攻击者可以利用此 SSRF 漏洞绕过网络访问控制,访问内部服务和资源,这些服务和资源通常对外部网络不可见。攻击者可能能够读取敏感数据,例如数据库凭据、API 密钥或内部文档。此外,攻击者还可能利用此漏洞扫描内部网络,寻找其他潜在漏洞。由于该漏洞的严重性,攻击者可能能够对受影响的系统造成重大损害,甚至可能导致数据泄露或系统完全控制。该漏洞的利用方式类似于其他 SSRF 漏洞,攻击者可以构造恶意的请求,伪装成内部服务,从而访问目标资源。
该漏洞已公开披露,且 CVSS 评分为 CRITICAL,表明其具有高风险。目前尚无公开的利用代码,但 SSRF 漏洞通常容易被利用。CISA 已将此漏洞添加到其已知漏洞目录 (KEV) 中,表明其具有较高的关注度。建议尽快采取缓解措施。
Organizations using Apache CXF for web service integration, particularly those relying on the Aegis DataBinding for data serialization and deserialization, are at risk. This includes applications that process data from external sources without proper validation. Shared hosting environments where multiple applications share the same CXF instance are also particularly vulnerable.
• java / server:
ps -ef | grep cxf• java / server:
find / -name "cxf-rt-databinding-aegis*.jar" -print• generic web:
curl -I <affected_cxf_endpoint>• generic web:
grep -r "Aegis DataBinding" /var/log/apache2/access.logdisclosure
漏洞利用状态
EPSS
0.59% (69% 百分位)
CVSS 向量
最有效的缓解措施是升级到受影响版本之后的修复版本,即 Apache CXF 3.5.8。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 或反向代理来过滤恶意请求,阻止 SSRF 攻击。配置 WAF 规则以阻止对内部资源的未经授权的访问。此外,审查并限制 Aegis DataBinding 的使用,如果可能,考虑使用其他数据绑定。升级后,请验证修复是否成功,例如通过尝试访问内部资源并确认访问被拒绝。
升级 Apache CXF 到 4.0.4、3.6.3 或 3.5.8 或更高版本。 这修复了 Aegis 数据绑定中的 SSRF 漏洞。 如果无法立即升级,请考虑禁用或避免使用 Aegis 数据绑定。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-28752 是 Apache CXF Aegis DataBinding 中的一个 SSRF 漏洞,允许攻击者发起服务器端请求伪造攻击,访问内部资源。
如果您的 Apache CXF 版本小于等于 3.5.7,则可能受到影响。请检查您的版本并升级。
升级到 Apache CXF 3.5.8 或更高版本以修复此漏洞。如果无法升级,请使用 WAF 或其他缓解措施。
虽然目前没有公开的利用代码,但由于漏洞的严重性,预计可能会被积极利用。
请访问 Apache CXF 官方网站或安全公告页面,查找有关 CVE-2024-28752 的详细信息。
上传你的 pom.xml 文件,立即知道是否受影响。