Apache SOAP任意代码执行漏洞通告(CVE

威胁预警团队

2022/11/28

Apache SOAP是美国阿帕奇（Apache）基金会的用作客户端库来调用其他地方可用的SOAP服务，也可以用作服务器端工具来实现SOAP可访问服务。SOAP是一个基于XML的用于应用程序之间通信数据编码的传输协议。最初由微软和Userland Software提出，随着不断地完善和改进，SOAP很快被业界广泛应用，SOAP被广泛作为新一代跨平台、跨语言分布计算Web Services的重要部分。SOAP 提供了一种标准的方法，使得运行在不同的操作系统并使用不同的技术和编程语言的应用程序可以互相进行通信。近日，新华三攻防实验室威胁预警团队监测到Apace官方发布安全更新公告，修复了一个存在于Apache SOAP组件中的任意代码执行漏洞（CVE-2022-45378）。新华三攻防实验室建议用户更新代码，去除该依赖。

该漏洞由于Apache SOAP存在代码问题导致，未经身份验证恶意攻击者可直接使用RPCRouterServlet在特定类的路径上调用方法，成功利用此漏洞可在目标服务器上执行任意代码，获取目标服务器的控制权限。

Apache SOAP