Apache CXF 漏洞曝光:存在拒绝服务与数据泄露双重风险

Apache软件基金会近日披露了一个影响多个Apache CXF版本的安全漏洞(CVE-2025-48795)。Apache CXF是开发者广泛使用的开源Web服务框架,用于构建基于SOAP和REST的应用程序。

漏洞双重威胁

该漏洞具有双重危害性:一方面可能通过内存耗尽导致拒绝服务(Denial-of-Service,DoS)攻击,另一方面可能将敏感数据(包括凭证信息)以明文形式意外暴露在应用程序日志中。

安全公告明确指出:"Apache CXF将基于流的大消息作为临时文件存储在本地文件系统中。由于代码缺陷,系统会将整个临时文件读入内存并进行日志记录。"

技术原理分析

该漏洞的核心问题在于Apache CXF处理大型消息负载的方式------特别是通过SOAP、XML/HTTP或REST传输的消息。正常情况下,基于流的数据应通过临时加密文件安全存储和管理。但在近期版本中,由于存在缺陷的代码变更,CXF会:

  • 将整个临时文件读入内存,对于超大负载可能导致内存不足(Out-of-Memory,OOM)异常
  • 记录全部内容,即使包含未加密的敏感信息,绕过了预期的安全防护措施

这意味着攻击者可以通过发送大量请求使服务崩溃,更严重的是,可能迫使系统将认证凭证或会话数据等敏感信息泄露到本不应包含此类内容的日志文件中。

受影响版本

该漏洞影响以下版本:

  • Apache CXF 3.5.10(3.5.11之前版本)
  • Apache CXF 3.6.5(3.6.6之前版本)
  • Apache CXF 4.0.6(4.0.7之前版本)
  • Apache CXF 4.1.0(4.1.1之前版本)

使用这些版本的组织------特别是金融、医疗和政府系统------应高度警惕。

安全风险警示

安全公告警告称:"此漏洞意味着缓存文件会以未加密形式写入日志",这对于处理个人身份信息(PII)、令牌或API密钥的系统尤其危险。

修复建议

Apache基金会敦促用户立即升级至以下修复版本:

  • 3.5.11
  • 3.6.6
  • 4.0.7
  • 4.1.1

这些更新修正了日志记录行为,恢复了临时文件的正确加密处理方式。

相关推荐
learning_tom16 小时前
微信小程序功能实现:页面导航与跳转
前端·javascript·apache
有个人神神叨叨20 小时前
【Apache Olingo】全面深入分析报告-OData
apache·ea·odata
阿湯哥20 小时前
Apache Camel 中 ProducerTemplate
apache
墨菲安全1 天前
Apache OFBiz Scrum 组件命令注入漏洞
apache·scrum·命令注入·apache ofbiz·scrum组件
lang201509282 天前
Apache Ignite的流处理(Streaming)示例程序
开发语言·apache·ignite
失因2 天前
Linux systemd 服务管理与 Firewall 防火墙配置
linux·运维·服务器·centos·apache
SeaTunnel2 天前
从《中国开源年度报告》看中国开源力量的十年变迁中,Apache SeaTunnel 的跃迁
开源·apache
xingzizhanlan2 天前
apache-tomcat-11.0.9安装及环境变量配置
java·tomcat·apache
smileNicky2 天前
从 LinkedIn 到 Apache:Kafka 的架构设计与应用场景
kafka·apache·linq
SelectDB技术团队3 天前
ApacheCon Asia 2025 中国开源年度报告:Apache Doris 国内第一
开源·apache·数据库开发·doris·实时分析