网络安全预警通报
2023年第9期
网络与计算中心 2023年9月15日
【预警类型】 高危预警
【预警内容】
关于Apache Axis远程代码执行漏洞(CVE-2023-40743)的风险提示
一、 漏洞概述
Apache Axis 是一个开源的、基于 XML 的 Web 服务框架,它提供了创建、部署和运行 Web 服务的基本功能,支持 SOAP 和 WSDL 标准,有 Java 和 C++的实现版本。
Apache Axis 在 1.x 版本中存在远程代码执行漏洞。系统中的"ServiceFactory#getService" 方法存在潜在危险调用方法,如果用户传入恶意jndiName值,则会导致应用程序进行任意代码执行。
二、漏洞详情
Apache Axis 远程代码执行漏洞(CVE-2023-40743)
漏洞影响范围:
Apache Axis 1.x < 2023.08.02
三、处置建议
为确保重要网络系统安全,防止发生重大网络安全事件,请组织指导本部门、本行业、本辖区重点单位,排查相关软件使用情况,并在确保安全的前提下升级版本,下载链接分别为:https://github.com/apache/axis-axis1-java/commit/7e66753427466590d6def0125e448d2791723210。同时,加强安全监测,发生重大网络安全事件要及时报告上级主管部门和属地公安机关网安部门。
内容 | 李昌
编辑 | 刘丹
审核 | 刘畔
位置:
