登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

Apache SOAP任意代码执行漏洞通告(CVE-2022-45378)

【发布时间:2023-02-20】

威胁预警团队

2022/11/28


1. 漏洞综述

1.1 漏洞背景

Apache SOAP是美国阿帕奇(Apache)基金会的用作客户端库来调用其他地方可用的SOAP服务,也可以用作服务器端工具来实现SOAP可访问服务。SOAP是一个基于XML的用于应用程序之间通信数据编码的传输协议。最初由微软和Userland Software提出,随着不断地完善和改进,SOAP很快被业界广泛应用,SOAP被广泛作为新一代跨平台、跨语言分布计算Web Services的重要部分。SOAP 提供了一种标准的方法,使得运行在不同的操作系统并使用不同的技术和编程语言的应用程序可以互相进行通信。近日,新华三攻防实验室威胁预警团队监测到Apace官方发布安全更新公告,修复了一个存在于Apache SOAP组件中的任意代码执行漏洞(CVE-2022-45378)。新华三攻防实验室建议用户更新代码,去除该依赖。

1.2 漏洞详情

该漏洞由于Apache SOAP存在代码问题导致,未经身份验证恶意攻击者可直接使用RPCRouterServlet在特定类的路径上调用方法,成功利用此漏洞可在目标服务器上执行任意代码,获取目标服务器的控制权限。

2. 影响范围

Apache SOAP <=2.3

3. 严重等级

中危

4. 处置方法

4.1 官方补丁

目前官方已停止支持,建议更新代码,使用Apache CXF或者Apache Axis,官方下载链接:

Apace CXF:https://cxf.apache.org

Apache Axis:https://axis.apache.org

5. 参考链接

https://lists.apache.org/thread/g4l64s283njhnph2otx7q4gs2j952d31

新华三官网
联系我们