一、漏洞详情

Apache CXF是一款广泛使用的开源Web Services开发框架。

近日，监测到Apache CXF JMS远程代码执行漏洞，由于Apache CXF在处理JMS配置时仍存在未完全覆盖的危险代码路径，攻击者在具备JMS配置权限或可注入不可信JMS配置的情况下，可利用该漏洞触发任意代码执行，进而控制应用服务、窃取敏感数据或横向渗透内部系统。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

4.0.0 <= Apache CXF(org.apache.cxf:cxf-rt-transports-jms) < 4.1.6

4.2.0 <= Apache CXF(org.apache.cxf:cxf-rt-transports-jms) < 4.2.1

Apache CXF(org.apache.cxf:cxf-rt-transports-jms) < 3.6.11

三、修复建议

官方已发布安全补丁，请及时更新至安全版本：

Apache CXF(org.apache.cxf:cxf-rt-transports-jms) >= 3.6.11

Apache CXF(org.apache.cxf:cxf-rt-transports-jms) >= 4.1.6

Apache CXF(org.apache.cxf:cxf-rt-transports-jms) >= 4.2.1