遠端主機上安裝的 axis 版本比 1.2.1-7.5.15 舊。因此，它受到 ALAS-2023-1840 公告中提及的一個弱點影響。

  - ** 指派時不支援 ** ** 指派時不支援 ** 在應用程式中整合 Apache Axis 1.x 時，透過 ServiceFactory.getService 查閱服務可能允許潛在危險的查閱機制 (例如 LDAP)，該問題可能並不明顯。將不受信任的輸入傳遞至此 API 方法時，可將應用程式暴露於 DoS、SSRF 甚至攻擊，進而導致 RCE。由於 Axis 1 已停止服務，我們建議您移轉至其他 SOAP 引擎，例如 Apache Axis 2/Java。作為因應措施，您可以檢閱您的程式碼，以驗證不受信任或未清理的輸入未傳遞至 ServiceFactory.getService，或套用 https://github.com/apache/axis-axis1-java/commit/7e66753427466590d6def0125e448d2791723210 中的修補程式。Apache Axis 專案預計不會建立可修正此問題的 Axis 1.x 版本，不過該專案歡迎感興趣的貢獻者為此努力。(CVE-2023-40743)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Amazon Linux AMI：axis (ALAS-2023-1840)

critical Nessus Plugin ID 182702

版本 1.2

版本 1.1

版本 1.0

版本 1.2 Dec 12, 2024, 9:55 AM CVSS metrics ("Cvssv4 score" set to 0.0) CVSSv2 severity (based on None, severity decreased from "High" to "Low") Detection (updated detection logic) Plugin metadata Plugin Feed: 202412120955
版本 1.1 Oct 18, 2023, 7:26 PM CVSS metrics ("CVSSv2 score" changed from 7.5 to 10.0. "CVSSv2 vector" changed from "CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P" to "CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C") CVSSv3 score source (set to "CVE-2023-40743") Plugin Feed: 202310181926
版本 1.0 Oct 6, 2023, 10:24 PM New Plugin Feed: 202310062224