Apache CXF 漏洞曝光:存在拒绝服务与数据泄露双重风险

Apache软件基金会近日披露了一个影响多个Apache CXF版本的安全漏洞(CVE-2025-48795)。Apache CXF是开发者广泛使用的开源Web服务框架,用于构建基于SOAP和REST的应用程序。

漏洞双重威胁

该漏洞具有双重危害性:一方面可能通过内存耗尽导致拒绝服务(Denial-of-Service,DoS)攻击,另一方面可能将敏感数据(包括凭证信息)以明文形式意外暴露在应用程序日志中。

安全公告明确指出:"Apache CXF将基于流的大消息作为临时文件存储在本地文件系统中。由于代码缺陷,系统会将整个临时文件读入内存并进行日志记录。"

技术原理分析

该漏洞的核心问题在于Apache CXF处理大型消息负载的方式------特别是通过SOAP、XML/HTTP或REST传输的消息。正常情况下,基于流的数据应通过临时加密文件安全存储和管理。但在近期版本中,由于存在缺陷的代码变更,CXF会:

  • 将整个临时文件读入内存,对于超大负载可能导致内存不足(Out-of-Memory,OOM)异常
  • 记录全部内容,即使包含未加密的敏感信息,绕过了预期的安全防护措施

这意味着攻击者可以通过发送大量请求使服务崩溃,更严重的是,可能迫使系统将认证凭证或会话数据等敏感信息泄露到本不应包含此类内容的日志文件中。

受影响版本

该漏洞影响以下版本:

  • Apache CXF 3.5.10(3.5.11之前版本)
  • Apache CXF 3.6.5(3.6.6之前版本)
  • Apache CXF 4.0.6(4.0.7之前版本)
  • Apache CXF 4.1.0(4.1.1之前版本)

使用这些版本的组织------特别是金融、医疗和政府系统------应高度警惕。

安全风险警示

安全公告警告称:"此漏洞意味着缓存文件会以未加密形式写入日志",这对于处理个人身份信息(PII)、令牌或API密钥的系统尤其危险。

修复建议

Apache基金会敦促用户立即升级至以下修复版本:

  • 3.5.11
  • 3.6.6
  • 4.0.7
  • 4.1.1

这些更新修正了日志记录行为,恢复了临时文件的正确加密处理方式。

相关推荐
張萠飛18 小时前
如何在实际应用中选择Blaze或Apache Gluten?
apache
spencer_tseng2 天前
Apache Maven 3.1.1 (eclipse luna)
java·maven·apache
暴走十八步2 天前
配置windows下apache+PHP环境
windows·php·apache
卓码软件测评2 天前
【第三方网站运行环境测试:服务器配置(如Nginx/Apache)的WEB安全测试重点】
运维·服务器·前端·网络协议·nginx·web安全·apache
智_永无止境2 天前
Java集合操作:Apache Commons Collections4启示录
java·apache
float_六七3 天前
Apache Commons Lang 3
开发语言·python·apache
bryant_meng4 天前
【Apache MXNet】
人工智能·apache·mxnet
Okailon5 天前
小型Apache上如何屏蔽好奇窥探者的实用方法
apache
Hello.Reader5 天前
用一根“数据中枢神经”串起业务从事件流到 Apache Kafka
分布式·kafka·apache
Mr. Cao code5 天前
Nginx与Apache:Web服务器性能大比拼
运维·服务器·前端·nginx·apache