备注:无CNNVD漏洞编号
漏洞概述
Apache SOAP (现已停止维护)是Java中 SOAP v1.1 和 SOAP Messages with Attachments 规范的开源实现 ,可以用作客户端来调用可用的 SOAP 服务,或者用作服务器端工具来实现 SOAP 可访问的服务。
Apache SOAP 在 2.3.1 及之前版本中的 RPCRouterServlet 存在远程代码执行漏洞,由于 RPCRouterServlet 并没有对调用者进行身份验证,攻击者可通过构造恶意的参数实现远程加载Java类,远程执行恶意代码。
风险等级:严重
受影响版本
soap:soap@(-∞, 2.3.1]
防御措施
Apache SOAP 已停止维护,建议更换相似组件:org.apache.axis:axis
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2022-45378
https://svn.apache.org/repos/asf/webservices/archive/soap/trunk/java/docs/intro.HTML
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
特别声明
本站(ZONE.CI)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
评论