Apache軟件基金會近日披露了一個影響多個Apache CXF版本的安全漏洞(CVE-2025-48795)。Apache CXF是開發者廣泛使用的開源Web服務框架,用于構建基于SOAP和REST的應用程序。
漏洞雙重威脅
該漏洞具有雙重危害性:一方面可能通過內存耗盡導致拒絕服務(Denial-of-Service,DoS)攻擊,另一方面可能將敏感數據(包括憑證信息)以明文形式意外暴露在應用程序日志中。
安全公告明確指出:"Apache CXF將基于流的大消息作為臨時文件存儲在本地文件系統中。由于代碼缺陷,系統會將整個臨時文件讀入內存并進行日志記錄。"
技術原理分析
該漏洞的核心問題在于Apache CXF處理大型消息負載的方式——特別是通過SOAP、XML/HTTP或REST傳輸的消息。正常情況下,基于流的數據應通過臨時加密文件安全存儲和管理。但在近期版本中,由于存在缺陷的代碼變更,CXF會:
- 將整個臨時文件讀入內存,對于超大負載可能導致內存不足(Out-of-Memory,OOM)異常
- 記錄全部內容,即使包含未加密的敏感信息,繞過了預期的安全防護措施
這意味著攻擊者可以通過發送大量請求使服務崩潰,更嚴重的是,可能迫使系統將認證憑證或會話數據等敏感信息泄露到本不應包含此類內容的日志文件中。
受影響版本
該漏洞影響以下版本:
- Apache CXF 3.5.10(3.5.11之前版本)
- Apache CXF 3.6.5(3.6.6之前版本)
- Apache CXF 4.0.6(4.0.7之前版本)
- Apache CXF 4.1.0(4.1.1之前版本)
使用這些版本的組織——特別是金融、醫療和政府系統——應高度警惕。
安全風險警示
安全公告警告稱:"此漏洞意味著緩存文件會以未加密形式寫入日志",這對于處理個人身份信息(PII)、令牌或API密鑰的系統尤其危險。
修復建議
Apache基金會敦促用戶立即升級至以下修復版本:
- 3.5.11
- 3.6.6
- 4.0.7
- 4.1.1
這些更新修正了日志記錄行為,恢復了臨時文件的正確加密處理方式。
)
)
)
)
