CVE-2020-1954

Apache CXF (versões afetadas não especificadas)

O problema está relacionado a erros no estabelecimento de conexões na estrutura de serviços web do Apache CXF. Isso permite que um invasor remoto obtenha acesso não autorizado a informações protegidas. Especificamente, a integração do Apache CXF com o JMX, por meio do registro de uma extensão InstrumentationManager no barramento CXF, pode ser explorada se a propriedade createMBServerConnectorFactory do InstrumentationManagerImpl padrão não estiver desativada. Essa vulnerabilidade é suscetível a um ataque do tipo man-in-the-middle (MITM), no qual um invasor no mesmo host pode se conectar ao registro, redirecionar a entrada para outro servidor e atuar como um proxy do original, obtendo assim acesso a todas as informações enviadas e recebidas via JMX.

Como solução temporária, considere desativar a propriedade createMBServerConnectorFactory do InstrumentationManagerImpl padrão até que um patch esteja disponível.

Restrinja o acesso ao registro JMX para minimizar o risco de exploração.

Evite usar a extensão InstrumentationManager com o barramento CXF até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.