CRITICAL🇬🇧 English

CVE-2026-49875

Apache CXF: podatność XXE w EndpointReferenceUtils i W3CMultiSchemaFactory

CVSS 9.8pub. 2026-06-12upd. 2026-06-30

Apache CXF zawiera podatność typu XML External Entity (XXE) w klasach EndpointReferenceUtils oraz W3CMultiSchemaFactory, które tworzą obiekt SAXParserFactory bez wymaganych zabezpieczeń JAXP. Umożliwia to atakującemu zdalną, nieuwierzytelnioną eksfiltrację danych oraz potencjalne wykonanie innych złośliwych operacji za pośrednictwem zewnętrznych encji XML.

Pokaż oryginał (EN)

Apache CXF's EndpointReferenceUtils and W3CMultiSchemaFactory classes construct a SAXParserFactory without the necessary JAXP hardening configurations, enabling out-of-band (OOB) external entity resolution. Users are recommended to upgrade to versions 4.2.2 or 4.1.7, which fix this issue.

🤖 Analiza AI
Jak działa

Klasy EndpointReferenceUtils i W3CMultiSchemaFactory inicjalizują SAXParserFactory bez niezbędnych konfiguracji hartowania JAXP (Java API for XML Processing). W efekcie parser XML nie blokuje rozwiązywania zewnętrznych encji (external entity resolution) poza pasmem (out-of-band, OOB). Atakujący może przesłać specjalnie spreparowany dokument XML zawierający odwołanie do zewnętrznego zasobu, który zostanie automatycznie pobrany przez serwer przetwarzający żądanie.

Skutki

Atakujący może odczytać dowolne pliki z systemu plików serwera, uzyskać dostęp do wewnętrznych zasobów sieciowych (SSRF) oraz potencjalnie wpłynąć na integralność i dostępność systemu, co odpowiada pełnemu naruszeniu poufności, integralności i dostępności (CVSS C:H/I:H/A:H).

Mitygacja

Należy zaktualizować Apache CXF do wersji 4.2.2 lub 4.1.7, które zawierają poprawkę eliminującą podatność. Szczegóły dostępne w referencjach producenta.

Kogo dotyczy

Apache CXF w wersjach poprzedzających 4.2.2 oraz 4.1.7

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Cxf

    APP
    Apache
    < 4.1.74.2.0 – 4.2.2 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-50627CRITICAL9.1PL ✓ten sam produkt

Apache CXF: brak weryfikacji pola 'aud' w tokenach JWT (Token Confusion)

CVE-2026-50628CRITICAL9.8PL ✓ten sam produkt

Apache CXF: błąd logiki w OAuthRequestFilter odwraca weryfikację IP

CVE-2026-44930CRITICAL9.8ten sam produkt

An LDAP injection vulnerability in the LDAP Certificate repository of the XKMS server in Apache CXF may allow ...

CVE-2025-48913CRITICAL9.8PL ✓ten sam produkt

Apache CXF: RCE przez złośliwe URL w konfiguracji JMS

CVE-2024-29736CRITICAL9.1PL ✓ten sam produkt

SSRF w opisie usług WADL w Apache CXF