PT-2022-27480 · Apache · Apache Soap
Tsungshu Chiu
·
Publicado
2022-11-14
·
Atualizado
2024-08-03
·
CVE-2022-45378
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Apache SOAP (versões afetadas não especificadas)
Descrição
A configuração padrão do Apache SOAP inclui um RPCRouterServlet que fica disponível sem autenticação, permitindo que um invasor invoque métodos no classpath que atendam a determinados critérios. Dependendo das classes disponíveis no classpath, isso pode levar à execução remota arbitrária de código. Esta vulnerabilidade afeta apenas produtos que não são mais suportados pelo mantenedor.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Missing Authentication
Improper Authentication
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Soap