PT-2022-27839 · Apache · Apache Cxf
Thanat0S
·
Publicado
2022-12-13
·
Atualizado
2025-04-22
·
CVE-2022-46363
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Apache CXF anteriores à 3.4.10
Versões do Apache CXF anteriores à 3.5.5
Descrição
Uma vulnerabilidade no Apache CXF permite que um invasor execute uma listagem remota de diretórios ou a exfiltração de código. Esse problema ocorre quando o CXFServlet é configurado com os atributos
static-resources-list e redirect-query-check, que não devem ser usados em conjunto. A vulnerabilidade só pode ocorrer se o serviço CXF estiver mal configurado.Recomendações
Para versões anteriores à 3.4.10, atualize para a versão 3.4.10 ou posterior para resolver o problema.
Para versões anteriores à 3.5.5, atualize para a versão 3.5.5 ou posterior para resolver o problema.
Como solução alternativa temporária, considere remover ou corrigir a configuração incorreta do CXFServlet, garantindo que os atributos
static-resources-list e redirect-query-check não sejam usados em conjunto.Correção
RCE
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Cxf