Apache CXF是一款广泛使用的开源Web Services开发框架。
近日,监测到Apache CXF JMS远程代码执行漏洞,由于Apache CXF在处理JMS配置时仍存在未完全覆盖的危险代码路径,攻击者在具备JMS配置权限或可注入不可信JMS配置的情况下,可利用该漏洞触发任意代码执行,进而控制应用服务、窃取敏感数据或横向渗透内部系统。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
4.0.0 <= Apache CXF(org.apache.cxf:cxf-rt-transports-jms) < 4.1.6
4.2.0 <= Apache CXF(org.apache.cxf:cxf-rt-transports-jms) < 4.2.1
Apache CXF(org.apache.cxf:cxf-rt-transports-jms) < 3.6.11
三、修复建议
官方已发布安全补丁,请及时更新至安全版本:
Apache CXF(org.apache.cxf:cxf-rt-transports-jms) >= 3.6.11
Apache CXF(org.apache.cxf:cxf-rt-transports-jms) >= 4.1.6
Apache CXF(org.apache.cxf:cxf-rt-transports-jms) >= 4.2.1
Designed by