漏洞标题
N/A
漏洞描述信息
Apache CXF 2.5.x 之前的版本(2.5.10 之前)、2.6.x 之前的版本(CXF 2.6.7 之前)和 2.7.x 之前的版本(CXF 2.7.4 之前)在解密之前,未验证 WS-SecurityPolicy AlgorithmSuite 定义中允许的指定加密算法。这允许远程攻击者迫使 CXF 使用比预期更强的加密算法,并使解密通信更容易,也被称为“XML Encryption backwards Compatibility Attack”。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Apache CXF 2.5.x before 2.5.10, 2.6.x before CXF 2.6.7, and 2.7.x before CXF 2.7.4 does not verify that a specified cryptographic algorithm is allowed by the WS-SecurityPolicy AlgorithmSuite definition before decrypting, which allows remote attackers to force CXF to use weaker cryptographic algorithms than intended and makes it easier to decrypt communications, aka "XML Encryption backwards compatibility attack."
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache CXF 加密问题漏洞
漏洞描述信息
Apache CXF是美国阿帕奇(Apache)软件基金会的一个开源的Web服务框架。该框架支持多种Web服务标准、多种前端编程API等。 Apache CXF 2.5.10之前的2.5.x版本,2.6.7之前的2.6.x版本,以及2.7.4之前的2.7.x版本中存在加密问题漏洞。该漏洞源于程序在对某指定加密算法进行解密之前,没有校验它是否已通过WS-SecurityPolicy AlgorithmSuite的定义。远程攻击者可利用该漏洞强制CXF使用比预期更弱的加密算法并使其更容易解密通信。
CVSS信息
N/A
漏洞类别
加密问题