【漏洞预警】Apache CXF SSRF漏洞（CVE-2024-29736）

原创 聚焦网络安全情报 安全聚 2024-07-20 20:04

预警公告 高危

近日，安全聚实验室监测到Apache CXF 版本的 WADL 服务中存在一个 SSRF 漏洞，编号为：CVE-2024-29736，CVSS:8.6 此漏洞在配置了自定义样式表参数时，允许攻击者对 REST Web 服务执行 SSRF 攻击。

01

漏洞描述

Apache CXF 是Apache软件基金会维护的开源Web服务框架，结合JAX-WS和JAX-RS标准，支持多种协议、提供数据绑定、安全性和扩展性，可与其他Apache项目集成，为开发人员提供强大且灵活的Web服务开发工具。Apache CXF 版本中的 WADL 服务描述存在一个SSRF漏洞，允许攻击者以SSRF攻击REST Web服务。该漏洞仅在配置了自定义样式表参数时才会生效。

02

影响范围

4.0.0 <= Apache CXF < 4.0.54.0.0 <= Apache CXF < 4.0.5Apache CXF < 3.5.9

03

安全措施

目前厂商已发布可更新版本，建议用户尽快更新至 Apache CXF 的修复版本或更高的版本：Apache CXF >= 4.0.5Apache CXF >= 3.6.4Apache CXF >= 3.5.9

官方最新版本下载地址：https://cxf.apache.org/

04

参考链接

1.https://lists.apache.org/thread/4jtpsswn2r6xommol54p5mg263ysgdw2

05

技术支持

长按识别二维码，关注“安全聚”公众号，联系我们的团队技术支持。