CVE-2022-46363

ALT: (7,5)

CVSS3: 6,5

Apache CXF podria permetre a un atacant remot obtenir informació delicada, causat per un defecte en el CXFServlet, el qual està configurat amb els atributs static-resources-list i redirect-query-check. Enviant una petició especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per realitzar un llistat de directoris o exfiltració de codi i utilitzar aquesta informació per llançar altres atacs contra el sistema afectat.

Sistemes Afectats

• Apache CXF 3.4.9
• Apache CXF 3.5.4

Remediació
Actualitzeu a l’última versió d’Apache CXF (3.5.5, 3.4.10 o posterior), disponible al lloc web d’Apache.

Referències

• https://seclists.org/oss-sec/2022/q4/181
• https://cxf.apache.org/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-46363