Apache CXF WS-SecurityPolicy SupportingToken sérülékenységek


2012. június 11. 07:05

CH azonosító

CH-6969

Angol cím

Apache CXF WS-SecurityPolicy SupportingToken Two Security Issues

Felfedezés dátuma

2012.06.07.

Súlyosság

Közepes

Érintett rendszerek

Apache CXF
Apache Software Foundation

Érintett verziók

Apache CXF 2.x

Összefoglaló

Az Apache CXF két olyan sérülékenységét jelentették, amelyeket a támadók kihasználva megkerülhetnek bizonyos biztonsági szabályokat.

Leírás

  1. Elemek vagy bizonyos részek aláírására vagy titkosítására használt Supporting Token egy hibája bizonyos al házirendek (child policy) WS-SecurityPolicy 1.1 SupportingToken használata esetén nem kerülnek átvételre a kliens oldalon.
    Ezt a sérülékenységet a 2.4.5 és 2.4.7 közötti, a 2.5.1 és 2.5.3 közötti illetve 2.6.0 verziókban jelentették.
  2. A WS-SecurityPolicy 1.1 és 1.2 hibáját kihasználva, amikor a Supporting Token al házirendjeként vannak meghatározva, elégtelen ellenőrzéshez vezethet, ha az egyező elemek aláírásra vagy titkosításra kerülnek bizonyos token-t felhasználva.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Authentication Issues (Hitelesítés)
Other (Egyéb)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: cxf.apache.org
Gyártói referencia: cxf.apache.org
SECUNIA 49361
CVE-2012-2378 - NVD CVE-2012-2378
CVE-2012-2379 - NVD CVE-2012-2379

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-53375 – TP-Link sérülékenysége
CVE-2025-4581 – Liferay sérülékenysége
CVE-2025-40605 – SonicWall Email Security sérülékenysége
CVE-2025-40604 – SonicWall Email Security sérülékenysége
CVE-2025-40601 – SonicWall SonicOS sérülékenység
CVE-2025-61757 – Oracle Fusion Middleware Missing Authentication for Critical Function sérülékenysége
CVE-2024-12912 – ASUS Router AiCloud sérülékenysége
CVE-2025-11001 – 7-Zip sérülékenysége
CVE-2025-58034 – Fortinet FortiWeb OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »