漏洞标题
N/A
漏洞描述信息
Apache CXF 可以通过在 CXF 总线上注册一个 InstrumentationManager 扩展来与 JMX 集成。如果默认的 InstrumentationManagerImpl 的“createMBServerConnectorFactory”属性没有被禁用,那么它容易被中间人(MITM)攻击所利用。在同一主机上的攻击者可以连接到注册表,将键重新绑定到另一个服务器,从而充当原始代理。然后,他们能够访问 JMX 中发送和接收的所有信息。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Apache CXF has the ability to integrate with JMX by registering an InstrumentationManager extension with the CXF bus. If the ‘createMBServerConnectorFactory‘ property of the default InstrumentationManagerImpl is not disabled, then it is vulnerable to a man-in-the-middle (MITM) style attack. An attacker on the same host can connect to the registry and rebind the entry to another server, thus acting as a proxy to the original. They are then able to gain access to all of the information that is sent and received over JMX.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Apache CXF 信息泄露漏洞
漏洞描述信息
Apache CXF是美国阿帕奇(Apache)软件基金会的一个开源的Web服务框架。该框架支持多种Web服务标准、多种前端编程API等。 Apache CXF 3.2.13之前版本和3.3.6之前版本中存在信息泄露漏洞。攻击者可利用该漏洞获取敏感信息。
CVSS信息
N/A
漏洞类别
信息泄露