偵測

Apache CXF 3.5.10 / 3.6.5 / 4.0.6 / 4.1.0 DoS (CVE-2025-48795)

medium Nessus Plugin ID 242260

語言:

概要

Apache CXF 受到一個拒絕服務弱點影響。

說明

遠端主機上安裝的 Apache CXF 版本為 3.5.10、 3.6.5、 4.0.6或 4.1.0。因此會受到一個拒絕服務弱點影響:

 - Apache CXF 在本機檔案系統上將大型資料流型訊息儲存為暫存檔。引入了一個錯誤這表示系統會將整個暫存檔讀入記憶體然後再予以記錄。攻擊者可惡意利用此弱點藉由造成記憶體不足例外狀況造成拒絕服務攻擊。此外可將 CXF 設定為加密暫存檔以防止在未加密的情況下在本機檔案系統快取敏感認證不過此錯誤表示快取的檔案會以未加密的形式寫出至記錄。建議使用者升級至 3.5.11、 3.6.6、 4.0.7 或 4.1.1版其可修正此問題。 (CVE-2025-48795)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Apache CXF 3.5.11、 3.6.6、 4.0.7或 4.1.1 版或更新版本。

另請參閱

http://www.nessus.org/u?7e85877c

Plugin 詳細資訊

嚴重性: Medium

ID: 242260

檔案名稱: apache_cxf_CVE-2025-48795.nasl

版本: 1.1

類型: local

代理程式: windows, macosx, unix

系列: Misc.

已發布: 2025/7/17

已更新: 2025/7/17

組態: 啟用徹底檢查 (optional)

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.2

CVSS v2

風險因素: Medium

基本分數: 5.1

媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2025-48795

CVSS v3

風險因素: Medium

基本分數: 5.6

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

弱點資訊

CPE: cpe:/a:apache:cxf

必要的 KB 項目: installed_sw/Apache CXF

修補程式發佈日期: 2025/7/15

弱點發布日期: 2025/7/15

參考資訊

CVE: CVE-2025-48795

IAVB: 2025-B-0119