备注：无CNNVD漏洞编号

漏洞概述

Apache SOAP （现已停止维护）是Java中 SOAP v1.1 和 SOAP Messages with Attachments 规范的开源实现 ，可以用作客户端来调用可用的 SOAP 服务，或者用作服务器端工具来实现 SOAP 可访问的服务。

Apache SOAP 在 2.3.1 及之前版本中的 RPCRouterServlet 存在远程代码执行漏洞，由于 RPCRouterServlet 并没有对调用者进行身份验证，攻击者可通过构造恶意的参数实现远程加载Java类，远程执行恶意代码。

风险等级：严重

受影响版本

soap:soap@(-∞, 2.3.1]

防御措施

Apache SOAP 已停止维护，建议更换相似组件：org.apache.axis:axis

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2022-45378

https://svn.apache.org/repos/asf/webservices/archive/soap/trunk/java/docs/intro.HTML