Apache CXF < 4.1.7 / 4.2.x < 4.2.2 複数の脆弱性
high Nessus プラグイン ID 321189
Language:
概要
Apache CXF は複数の脆弱性の影響を受けます。説明
リモートホストにインストールされている Apache CXF のバージョンは、4.1.7 より前か 4.2.2 より前の 4.2.x です。そのため、以下を含む複数の脆弱性による影響を受けます:- JCA 統合モジュールの JNDI インジェクションの脆弱性により、攻撃者が JCA 展開記述子またはランタイム活性化パラメーターを操作できる場合、コード実行の可能性があります。
(CVE-2026-50633)
- CVE-2026-44417 の修正が不完全なため、信頼できないユーザーが Apache CXF に対して JMS を構成することが許可されている場合、コード実行が発生する可能性があります。(CVE-2026-50632)
- 逆シリアル化中にメッセージの添付ファイルヘッダーの量に制限がないため、制御されないリソース消費またはサービス拒否が発生する可能性があります。(CVE-2026-50645)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Apache CXF バージョン 4.1.7、あるいは 4.2.2 以降にアップグレードしてください。参考資料
https://cxf.apache.org/security-advisories.html
https://lists.apache.org/thread/1czhgovkgzdkyp3t61wthn0foogh2grf
https://lists.apache.org/thread/740ghch5z5y675cn2kzgtyo5k37n6qcw
https://lists.apache.org/thread/24zb7cqcvykhwm0j797dmdq25s61mj93
https://lists.apache.org/thread/s83t3x4r626o9h8rt0ryr1w7w53l1vv8
https://lists.apache.org/thread/9nfwh9d3m4kznxrk1mz98hl0jml18k0p
https://lists.apache.org/thread/bt7vnjzzkpd6vdhkxv103poor1jy5trm
https://lists.apache.org/thread/ydzj8m5mqmjy13xgyj9mkk9hfff63qq7
https://lists.apache.org/thread/xw95po30p8th58ms1no6b0f2375cql00
プラグインの詳細
深刻度: High
ID: 321189
ファイル名: apache_cxf_4_2_2.nasl
バージョン: 1.2
タイプ: Local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2026/6/16
更新日: 2026/6/17
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 5.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS スコアのソース: CVE-2026-50645
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:apache:cxf
必要な KB アイテム: installed_sw/Apache CXF
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/6/11
脆弱性公開日: 2026/6/11
参照情報
CVE: CVE-2026-50623, CVE-2026-50629, CVE-2026-50630, CVE-2026-50631, CVE-2026-50632, CVE-2026-50633, CVE-2026-50634, CVE-2026-50645