漏洞起因
访问验证错误
危险等级
低
影响系统
Apache CXF 2.x
不受影响系统
危害
远程攻击者可以利用漏洞绕过安全限制访问受限服务。
攻击所需条件
攻击者必须访问Apache CXF。
漏洞信息
Apache CXF一个开源的Service框架,它实现了JCP与Web Service中一些重要标准。
漏洞是由于架构没有正确校验SOAP请求里WS-Security UsernameToken是否存在,可被利用提交恶意请求绕过UsernameToken策略,访问受限服务。
测试方法
厂商解决方案
Apache CXF 2.4.6或2.5.2已经修复此漏洞,建议用户下载使用:
http://cxf.apache.org/
漏洞提供者
vendor
评论关闭。