GHSA-qmgx-j96g-4428

Опубликовано: 15 мар. 2024

Источник: github

Github: Прошло ревью

CVSS4: 9.3

CVSS3: 9.3

Описание

SSRF vulnerability using the Aegis DataBinding in Apache CXF

A SSRF vulnerability using the Aegis DataBinding in versions of Apache CXF before 4.0.4, 3.6.3 and 3.5.8 allows an attacker to perform SSRF style attacks on webservices that take at least one parameter of any type. Users of other data bindings (including the default databinding) are not impacted.

Ссылки

Пакеты

Наименование

org.apache.cxf:cxf-rt-databinding-aegis

maven

Затронутые версииВерсия исправления

< 3.5.8

3.5.8

Наименование

org.apache.cxf:cxf-rt-databinding-aegis

maven

Затронутые версииВерсия исправления

>= 3.6.0, < 3.6.3

3.6.3

Наименование

org.apache.cxf:cxf-rt-databinding-aegis

maven

Затронутые версииВерсия исправления

>= 4.0.0, < 4.0.4

4.0.4

EPSS

Процентиль: 69%

0.0059

Низкий

9.3 Critical

CVSS4

9.3 Critical

CVSS3

CVE ID

CVE-2024-28752

Дефекты

CWE-918

Связанные уязвимости

CVE-2024-28752

CVSS3: 7.4

redhat

почти 2 года назад

CVE-2024-28752

CVSS3: 9.3

nvd

почти 2 года назад

BDU:2024-04736

CVSS3: 9.8

fstec

почти 2 года назад

Уязвимость каркаса для веб-сервисов Apache CXF, существующая из-за недостаточной проверки вводимых пользователем данных, позволяющая нарушителю осуществить SSRF-атаку

EPSS

Процентиль: 69%

0.0059

Низкий

9.3 Critical

CVSS4

9.3 Critical

CVSS3

CVE ID

CVE-2024-28752

Дефекты

CWE-918