PT-2024-4249 · Apache · Apache Cxf
Tobias S. Fink
·
Publicado
2024-03-14
·
Atualizado
2026-04-07
·
CVE-2024-28752
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Apache CXF anteriores à 4.0.4
Versões do Apache CXF anteriores à 3.6.3
Versões do Apache CXF anteriores à 3.5.8
Descrição
Uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF) no Aegis DataBinding do Apache CXF permite que um invasor execute ataques do tipo SSRF em serviços web que aceitem pelo menos um parâmetro de qualquer tipo. Usuários de outras ligações de dados, incluindo a ligação de dados padrão, não são afetados.
Recomendações
Para versões do Apache CXF anteriores à 4.0.4, atualize para a versão 4.0.4 ou posterior.
Para versões do Apache CXF anteriores à 3.6.3, atualize para a versão 3.6.3 ou posterior.
Para versões do Apache CXF anteriores à 3.5.8, atualize para a versão 3.5.8 ou posterior.
Como solução alternativa temporária, considere desativar o Aegis DataBinding até que um patch esteja disponível.
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Cxf