漏洞标题
使用Aegis数据绑定,Apache CXF存在SSRF漏洞
漏洞描述信息
在Apache CXF 4.0.4之前、3.6.3和3.5.8版本中,使用Aegis DataBinding时存在一个SSRF漏洞。攻击者可以利用这个漏洞对至少接受一个任何类型参数的Web服务执行类似SSRF的攻击。
使用其他数据绑定(包括默认数据绑定)的用户不受影响。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
服务端请求伪造(SSRF)
漏洞标题
Apache CXF SSRF Vulnerability using the Aegis databinding
漏洞描述信息
A SSRF vulnerability using the Aegis DataBinding in versions of Apache CXF before 4.0.4, 3.6.3 and 3.5.8 allows an attacker to perform SSRF style attacks on webservices that take at least one parameter of any type. Users of other data bindings (including the default databinding) are not impacted.
CVSS信息
N/A
漏洞类别
服务端请求伪造(SSRF)
漏洞标题
Apache CXF 代码问题漏洞
漏洞描述信息
Apache CXF是美国阿帕奇(Apache)基金会的一个开源的Web服务框架。该框架支持多种Web服务标准、多种前端编程API等。 Apache CXF存在代码问题漏洞,该漏洞源于存在服务器请求伪造(SSRF)漏洞。受影响的产品和版本:Apache CXF 4.0.4之前版本,3.6.3之前版本,3.5.8之前版本。
CVSS信息
N/A
漏洞类别
代码问题