Apache CXF < 3.6.11 / 4.0.x < 4.1.6 / 4.2.x < 4.2.1 の複数の脆弱性
critical Nessus プラグイン ID 317386
Language:
概要
Apache CXF は複数の脆弱性の影響を受けます。説明
リモートホストにインストールされている Apache CXF のバージョンは、複数の脆弱性の影響を受けます。- CVE-2025-48913 の修正: Apache CXF: 信頼できない JMS 設定が RCE につながる可能性があるというのは不完全であり、信頼できないユーザーが Apache CXF に対して JMS を設定することが許可されている場合、コードの別のパスがコード実行ができる可能性がある、という意味です。(CVE-2026-44417)
- Apache CXF の WS-Transfer モジュールの安全でない XML パーサー設定により、攻撃者が XXE 攻撃を実行する可能性があります。(CVE-2026-44618)
- Apache CXF の XKMS サーバーの LDAP 証明書リポジトリにおける LDAP インジェクションの脆弱性により、攻撃者はリポジトリから任意の証明書を取得できる場合があります。(CVE-2026-44930)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Apache CXF バージョン 3.6.11、4.1.6、または 4.2.1 以降にアップグレードしてください。参考資料
https://cxf.apache.org/security-advisories.html
https://lists.apache.org/thread/c7vb015f8ljmjl44030mn0yfq71f7sd7
https://lists.apache.org/thread/c1zqxppo1m5z3kbdhjn5p991zk09ynkh
https://lists.apache.org/thread/nr1l8k9kgq4rx61ytfkq0bt8w549o1rv
プラグインの詳細
深刻度: Critical
ID: 317386
ファイル名: apache_cxf_4_2_1.nasl
バージョン: 1.3
タイプ: Local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2026/5/28
更新日: 2026/6/1
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.4
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2026-44930
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:apache:cxf
必要な KB アイテム: installed_sw/Apache CXF
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/5/22
脆弱性公開日: 2026/5/22
参照情報
CVE: CVE-2026-44417, CVE-2026-44618, CVE-2026-44930
IAVB: 2026-B-0135