Apache 软件基金会近日披露了一个影响多个版本 Apache CXF 的严重漏洞(编号 CVE-2025-48795)。Apache CXF 是广泛用于构建 SOAP 与 REST 应用的开源 Web 服务框架。此次漏洞带来双重威胁:既可能造成内存耗尽引发拒绝服务(DoS)攻击,也可能在应用日志中泄露明文敏感数据,包括认证凭据。
漏洞详情
官方通告指出:“Apache CXF 会将大型基于流的消息存储为本地临时文件。由于一个 bug,系统会将整个临时文件读入内存并记录日志。”
该漏洞的核心在于 CXF 处理大型消息负载的方式,特别是通过 SOAP、XML/HTTP 或 REST 传输的内容。原本应安全加密存储于临时文件的数据,在受到此漏洞影响时,CXF 会:
-
将整个临时文件内容读入内存,对于大规模请求可能导致内存溢出(OOM)
-
将临时文件内容写入日志,即使其中包含明文敏感信息,也无任何屏蔽或脱敏
这意味着攻击者可通过构造超大请求触发服务崩溃,或诱使系统将明文凭证、API 密钥或会话数据写入日志,从而被意外泄露。
受影响版本
以下版本存在该漏洞:
-
Apache CXF 3.5.10(早于 3.5.11)
-
Apache CXF 3.6.5(早于 3.6.6)
-
Apache CXF 4.0.6(早于 4.0.7)
-
Apache CXF 4.1.0(早于 4.1.1)
由于 Apache CXF 广泛部署于金融、医疗、政府等高敏感领域系统,相关组织应高度警惕。
通告特别强调:
“该漏洞会将缓存文件未经加密写入日志,这是极具风险的行为。”
官方建议
Apache 基金会已发布安全更新,修复了日志记录行为,并恢复了临时文件的正确加密处理机制。建议用户立即升级至以下版本:
-
3.5.11
-
3.6.6
-
4.0.7
-
4.1.1
务必检查部署环境是否存在受影响版本,并审查日志记录策略,以防敏感信息泄露。
发表评论
您还未登录,请先登录。
登录