PT-2024-14125 · Apache+2 · Apache Axis+2
Bing
+1
·
Publicado
2024-01-06
·
Atualizado
2024-08-02
·
CVE-2023-51441
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Apache Axis até a 1.3
Descrição
O problema está relacionado a uma vulnerabilidade de validação inadequada de entrada no Apache Axis, que permite que usuários com acesso ao serviço de administração realizem possíveis ataques de falsificação de solicitação do lado do servidor (SSRF). Isso poderia levar a um acesso não autorizado a recursos internos. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.
Recomendações
Como solução temporária, considere migrar para um mecanismo SOAP diferente, como o Apache Axis 2/Java.
Como alternativa, use uma versão do Axis com o patch de https://github.com/apache/axis-axis1-java/commit/685c309febc64aa393b2d64a05f90e7eb9f73e06 aplicado.
Observe que o projeto Apache Axis não planeja lançar uma versão do Axis 1.x para corrigir este problema.
Correção
RCE
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Axis
Debian
Suse