Apache CXF SSRF漏洞（CVE-2024-29736）

2024年8月5日13:15:37评论134 views字数 668阅读2分13秒阅读模式

预警公告高危

近日，安全聚实验室监测到Apache CXF 版本的 WADL 服务中存在一个 SSRF 漏洞，编号为：CVE-2024-29736，CVSS:8.6 此漏洞在配置了自定义样式表参数时，允许攻击者对 REST Web 服务执行 SSRF 攻击。

漏洞描述

Apache CXF 是Apache软件基金会维护的开源Web服务框架，结合JAX-WS和JAX-RS标准，支持多种协议、提供数据绑定、安全性和扩展性，可与其他Apache项目集成，为开发人员提供强大且灵活的Web服务开发工具。Apache CXF 版本中的 WADL 服务描述存在一个SSRF漏洞，允许攻击者以SSRF攻击REST Web服务。该漏洞仅在配置了自定义样式表参数时才会生效。

影响范围

4.0.0 <= Apache CXF < 4.0.5
4.0.0 <= Apache CXF < 4.0.5
Apache CXF < 3.5.9

安全措施

目前厂商已发布可更新版本，建议用户尽快更新至 Apache CXF 的修复版本或更高的版本：

Apache CXF >= 4.0.5
Apache CXF >= 3.6.4
Apache CXF >= 3.5.9

官方最新版本下载地址：
https://cxf.apache.org/

参考链接

1.https://lists.apache.org/thread/4jtpsswn2r6xommol54p5mg263ysgdw2

技术支持

长按识别二维码，关注“安全聚”公众号，联系我们的团队技术支持。

原文始发于微信公众号（安全聚）：【漏洞预警】Apache CXF SSRF漏洞（CVE-2024-29736）

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

Apache CXF SSRF漏洞（CVE-2024-29736）

Argo Events权限管理不当漏洞

Oracle E-Business Suite远程代码执行漏洞(CVE-2025-30727)

Apache Roller 漏洞让攻击者获得未经授权的访问

Oracle E-Business Suite远程代码执行漏洞（CVE-2025-30727）

Apache Roller 未经授权的访问漏洞

Gladinet漏洞CVE-2025-30406遭在野利用

安美酒店管理系统/get_user_enrollment.php接口 sql注入漏洞

Microsoft Edge信息泄露漏洞(CVE-2025-29834)

【已复现】Gladinet CentreStack & Triofox 远程RCE漏洞（CVE-2025-30406）

【成功复现】Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2025-0108)

发表评论