Apache CXF 'URIMappingInterceptor'安全绕过漏洞

admin
admin
admin
0
文章
0
评论
2023-12-07 21:52:27 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
中危 Apache CXF 'URIMappingInterceptor'安全绕过漏洞

CVE编号

CVE-2012-5633

利用情况

暂无

补丁情况

官方补丁

披露时间

2013-03-13
漏洞描述
Apache CXF是一个开源的Service框架,它实现了JCP与Web Service中一些重要标准。在通过URIMappingInterceptor处理HTTP GET请求时存在一个错误,可被用于绕过WS-Security处理,访问其他受限的SOAP服务。要成功利用漏洞需要服务通过WSS4JInInterceptor进行安全加强,并没有使用WS-SecurityPolicy保护。
解决建议
Apache CXF 2.5.9, 2.6.6或2.7.3已经修复此漏洞,建议用户下载使用:http://cxf.apache.org/
参考链接
http://cxf.apache.org/cve-2012-5633.html
http://osvdb.org/90079
http://packetstormsecurity.com/files/120213/Apache-CXF-WS-Security-URIMapping...
http://rhn.redhat.com/errata/RHSA-2013-0256.html
http://rhn.redhat.com/errata/RHSA-2013-0257.html
http://rhn.redhat.com/errata/RHSA-2013-0258.html
http://rhn.redhat.com/errata/RHSA-2013-0259.html
http://rhn.redhat.com/errata/RHSA-2013-0726.html
http://rhn.redhat.com/errata/RHSA-2013-0743.html
http://rhn.redhat.com/errata/RHSA-2013-0749.html
http://seclists.org/fulldisclosure/2013/Feb/39
http://secunia.com/advisories/51988
http://secunia.com/advisories/52183
http://stackoverflow.com/questions/7933293/why-does-apache-cxf-ws-security-im...
http://svn.apache.org/viewvc?view=revision&revision=1409324
http://svn.apache.org/viewvc?view=revision&revision=1420698
http://www.securityfocus.com/bid/57874
https://exchange.xforce.ibmcloud.com/vulnerabilities/81980
https://issues.apache.org/jira/browse/CXF-4629
https://issues.jboss.org/browse/JBWS-3575
https://lists.apache.org/thread.html/r36e44ffc1a9b365327df62cdfaabe85b9a5637d...
https://lists.apache.org/thread.html/rc774278135816e7afc943dc9fc78eb0764f2c84...
https://lists.apache.org/thread.html/rd49aabd984ed540c8ff7916d4d79405f3fa311d...
https://lists.apache.org/thread.html/rec7160382badd3ef4ad017a22f64a266c7188b9...
https://lists.apache.org/thread.html/rfb87e0bf3995e7d560afeed750fac9329ff5f1a...
https://lists.apache.org/thread.html/rff42cfa5e7d75b7c1af0e37589140a8f1999e57...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 apache cxf * Up to (including) 2.5.7
运行在以下环境
应用 apache cxf 2.5.0 -
运行在以下环境
应用 apache cxf 2.5.1 -
运行在以下环境
应用 apache cxf 2.5.2 -
运行在以下环境
应用 apache cxf 2.5.3 -
运行在以下环境
应用 apache cxf 2.5.4 -
运行在以下环境
应用 apache cxf 2.5.5 -
运行在以下环境
应用 apache cxf 2.5.6 -
运行在以下环境
应用 apache cxf 2.6.0 -
运行在以下环境
应用 apache cxf 2.6.1 -
运行在以下环境
应用 apache cxf 2.6.2 -
运行在以下环境
应用 apache cxf 2.6.3 -
运行在以下环境
应用 apache cxf 2.6.4 -
运行在以下环境
应用 apache cxf 2.7.0 -
运行在以下环境
应用 apache cxf 2.7.1 -
阿里云评分 5.8
  • 攻击路径 本地
  • 攻击复杂度 困难
  • 权限要求 普通权限
  • 影响范围 有限影响
  • EXP成熟度 未验证
  • 补丁情况 官方补丁
  • 数据保密性 无影响
  • 数据完整性 N/A
  • 服务器危害 无影响
  • 全网数量 N/A
CWE-ID 漏洞类型
CWE-287 认证机制不恰当
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-9120利用情况 暂无补丁情况 N/A披露时间 2024-09-23漏洞描述Use after free in Dawn
09-260 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0