一、背景介绍
近日,市委网信办技术支撑单位监测到Apache Axis发布了安全通告,修复了远程代码执行漏洞(CVE-2023-40743)。
1.1 漏洞描述
Apache Axis 是一个开源的、基于 XML 的 Web 服务框架,它提供了创建、部署和运行 Web 服务的基本功能,支持 SOAP 和 WSDL 标准,有 Java 和 C++的实现版本。
Apache Axis 在 1.x 版本中存在远程代码执行漏洞。系统中的ServiceFactory#getService 方法存在潜在危险调用方法,如果用户传入恶意jndiName值,则会导致应用程序进行任意代码执行。
1.2 漏洞编号
CVE-2023-40743
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
Apache Axis 1.x < 2023.08.02
2.2 修复建议
Apache Axis已发布漏洞修复补丁,请尽快更新:
https://github.com/apache/axis-axis1-java/commit/7e66753427466590d6def0125e448d2791723210