Thanat0S

**Nome do software vulnerável e versões afetadas** Versões do Apache CXF anteriores à 3.4.10 Versões do Apache CXF anteriores à 3.5.5 **Descrição** Uma vulnerabilidade no Apache CXF permite que um invasor execute uma listagem remota de diretórios ou a exfiltração de código. Esse problema ocorre quando o CXFServlet é configurado com os atributos `static-resources-list` e `redirect-query-check`, que não devem ser usados em conjunto. A vulnerabilidade só pode ocorrer se o serviço CXF estiver mal configurado. **Recomendações** Para versões anteriores à 3.4.10, atualize para a versão 3.4.10 ou posterior para resolver o problema. Para versões anteriores à 3.5.5, atualize para a versão 3.5.5 ou posterior para resolver o problema. Como solução alternativa temporária, considere remover ou corrigir a configuração incorreta do CXFServlet, garantindo que os atributos `static-resources-list` e `redirect-query-check` não sejam usados em conjunto.

**Nome do software vulnerável e versões afetadas** Versões do Apache CXF anteriores à 3.5.5 Versões do Apache CXF anteriores à 3.4.10 **Descrição** Existe uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) na análise do atributo `href` de XOP:Include em solicitações MTOM. Isso permite que um invasor execute ataques do tipo SSRF em serviços web que aceitem pelo menos um parâmetro de qualquer tipo. **Recomendações** Para versões anteriores à 3.5.5, atualize para a versão 3.5.5 ou posterior. Para versões anteriores à 3.4.10, atualize para a versão 3.4.10 ou posterior. Como solução temporária, considere restringir o acesso ao elemento `XOP:Include` em solicitações MTOM até que um patch esteja disponível.