Apache CXF 3.5.10 / 3.6.5 / 4.0.6 / 4.1.0 DoSCVE-2025-48795
medium Nessus プラグイン ID 242260
Language:
概要
Apache CXF は、サービス拒否脆弱性の影響を受けます。説明
リモートホストにインストールされている Apache CXF のバージョンは 3.5.10、 、 3.6.5、 4.0.6、または 4.1.0です。したがって、サービス拒否の脆弱性の影響を受けます。- Apache CXF は、大きなストリームベースのメッセージをローカルファイルシステムに一時ファイルとして保存します。一時ファイル全体がメモリに読み込まれ、その後に記録されるバグが導入されました。攻撃者がこれを悪用し、メモリ不足の例外を引き起こすことでサービス拒否攻撃を引き起こす可能性があります。さらに、機密の認証情報がローカルファイルシステムで暗号化されずにキャッシュされるのを回避するために、一時ファイルを暗号化するように CXF を構成することもできます。ただし、このバグは、キャッシュされたファイルが暗号化されないログに書き込まれることを意味します。ユーザーは、この問題を修正するバージョン 3.5.11、 3.6.6、 4.0.7 、または 4.1.1にアップグレードすることが推奨されます。CVE-2025-48795
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Apache CXFバージョン 3.5.11、 3.6.6、 4.0.7、 4.1.1 、またはそれ以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Medium
ID: 242260
ファイル名: apache_cxf_CVE-2025-48795.nasl
バージョン: 1.1
タイプ: local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2025/7/17
更新日: 2025/7/17
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.2
CVSS v2
リスクファクター: Medium
基本値: 5.1
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2025-48795
CVSS v3
リスクファクター: Medium
基本値: 5.6
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L
脆弱性情報
CPE: cpe:/a:apache:cxf
必要な KB アイテム: installed_sw/Apache CXF
パッチ公開日: 2025/7/15
脆弱性公開日: 2025/7/15
参照情報
CVE: CVE-2025-48795
IAVB: 2025-B-0119