CRITICAL✓ PATCH🇬🇧 English

CVE-2024-28752

SSRF w Apache CXF przez Aegis DataBinding — ataki na usługi webowe

CVSS 9.3v3.1pub. 2024-03-15upd. 2025-06-27

Podatność typu SSRF (Server-Side Request Forgery) w komponencie Aegis DataBinding biblioteki Apache CXF umożliwia atakującemu wykonywanie nieautoryzowanych żądań po stronie serwera. Dotyczy wersji Apache CXF przed 4.0.4, 3.6.3 i 3.5.8, a jej krytyczność wynika z możliwości naruszenia poufności i integralności danych bez konieczności uwierzytelnienia.

Pokaż oryginał (EN)

A SSRF vulnerability using the Aegis DataBinding in versions of Apache CXF before 4.0.4, 3.6.3 and 3.5.8 allows an attacker to perform SSRF style attacks on webservices that take at least one parameter of any type. Users of other data bindings (including the default databinding) are not impacted.

🤖 Analiza AI
Jak działa

Podatność jest obecna wyłącznie w konfiguracji używającej Aegis DataBinding — domyślny mechanizm wiązania danych nie jest podatny. Atakujący może spreparować odpowiednio złośliwe dane wejściowe i przekazać je do dowolnej usługi webowej zbudowanej na Apache CXF z Aegis DataBinding, o ile przyjmuje ona co najmniej jeden parametr dowolnego typu. Serwer przetwarza te dane i może zostać skłoniony do wykonania żądań HTTP do wewnętrznych lub zewnętrznych zasobów, do których normalnie atakujący nie miałby dostępu.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do wewnętrznych zasobów sieciowych (SSRF), odczytywać poufne informacje oraz wpływać na integralność operacji wykonywanych przez serwer w imieniu atakującego. Może to prowadzić do ujawnienia infrastruktury wewnętrznej oraz eskalacji do dalszych ataków w sieci wewnętrznej.

Mitygacja

Należy zaktualizować Apache CXF do wersji 4.0.4, 3.6.3 lub 3.5.8 (odpowiednio do używanej gałęzi). Jeśli aktualizacja nie jest natychmiast możliwa, należy rozważyć przejście na domyślny mechanizm wiązania danych zamiast Aegis DataBinding. Użytkownicy produktów NetApp powinni zastosować patche zgodnie z zaleceniami producenta dostępnymi pod adresem security.netapp.com.

Kogo dotyczy

Apache CXF w wersjach przed 4.0.4, przed 3.6.3 oraz przed 3.5.8, wyłącznie gdy używany jest Aegis DataBinding. Dotyczy również produktów NetApp: OnCommand Workflow Automation oraz ONTAP Tools (wersje wskazane w referencjach producenta NetApp).

Uwagi

Podatność dotyczy wyłącznie konfiguracji z Aegis DataBinding — instalacje korzystające z domyślnego mechanizmu wiązania danych (default databinding) nie są zagrożone. Informacja opublikowana na liście oss-security 14 marca 2024.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
  • Apache Cxf

    APP
    Apache
    < 3.5.83.6.0 – 3.6.3 (bez)4.0.0 – 4.0.4 (bez)
  • Netapp Oncommand Workflow Automation

    APP
    Netapp
    wszystkie wersje
  • Netapp Ontap Tools

    APP
    Netapp
    10
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
SSRF
CWE
Referencje

Powiązane podatności

CVE-2021-44228CRITICAL10.0⚠ KEVten sam produkt

Apache Log4j2 2.0-beta9 through 2.15.0 (excluding security releases 2.12.2, 2.12.3, and 2.3.1) JNDI features u...

CVE-2016-3427CRITICAL9.8⚠ KEVten sam produkt

Unspecified vulnerability in Oracle Java SE 6u113, 7u99, and 8u77; Java SE Embedded 8u77; and JRockit R28.3.9 ...

CVE-2026-49875CRITICAL9.8PL ✓ten sam produkt

Apache CXF: podatność XXE w EndpointReferenceUtils i W3CMultiSchemaFactory

CVE-2026-50627CRITICAL9.1PL ✓ten sam produkt

Apache CXF: brak weryfikacji pola 'aud' w tokenach JWT (Token Confusion)

CVE-2026-50628CRITICAL9.8PL ✓ten sam produkt

Apache CXF: błąd logiki w OAuthRequestFilter odwraca weryfikację IP