Apache CXF 3.5.10 / 3.6.5 / 4.0.6 / 4.1.0 の DoS (CVE-2025-48795)
medium Nessus プラグイン ID 242260
Language:
概要
Apache CXF はサービス拒否の脆弱性の影響を受けます。説明
リモートホストにインストールされている Apache CXF のバージョンは、3.5.10、3.6.5、4.0.6または 4.1.0 です。したがって、サービス拒否の脆弱性の影響を受けます。- Apache CXF は、大きなストリームベースのメッセージをローカルファイルシステムに一時ファイルとして保存します。一時ファイル全体がメモリに読み込まれ、その後に記録されるバグが導入されました。攻撃者がこれを悪用し、メモリ不足の例外によってサービス拒否攻撃を引き起こす可能性があります。さらに、機密の認証情報がローカルファイルシステムで暗号化されずにキャッシュされるのを回避するために、一時ファイルを暗号化するように CXF を構成することもできます。ただし、このバグは、キャッシュされたファイルが暗号化されない状態でログに書き込まれることを意味します。ユーザーには、この問題を修正したバージョン 3.5.11、3.6.6、4.0.7 または 4.1.1 へのアップグレードをお勧めします。(CVE-2025-48795)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Apache CXF バージョン 3.5.11、3.6.6、4.0.7 または 4.1.1 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Medium
ID: 242260
ファイル名: apache_cxf_CVE-2025-48795.nasl
バージョン: 1.1
タイプ: local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2025/7/17
更新日: 2025/7/17
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.4
CVSS v2
リスクファクター: Medium
基本値: 5.1
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2025-48795
CVSS v3
リスクファクター: Medium
基本値: 5.6
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L
脆弱性情報
CPE: cpe:/a:apache:cxf
必要な KB アイテム: installed_sw/Apache CXF
パッチ公開日: 2025/7/15
脆弱性公開日: 2025/7/15
参照情報
CVE: CVE-2025-48795
IAVB: 2025-B-0119