One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8379228 |
| Date de publication | 2023-09-05 15:15:42 (vue: 2023-09-05 17:06:50) |
| Titre | CVE-2023-40743 |
| Texte | ** Non pris en charge lorsqu'il est attribué ** ** non pris en charge lorsqu'il est attribué ** Lors de l'intégration d'Apache Axe 1.x dans une application, il peut ne pas avoir été évident que la recherche d'un service via "ServiceFactory.getService" permet des mécanismes de recherche potentiellement dangereux tels que LDAP.Lorsque vous transmettez une entrée non fiable à cette méthode API, cela pourrait exposer l'application à DOS, SSRF et même des attaques menant à RCE.
Comme l'axe 1 a été EOL, nous vous recommandons de migrer vers un autre moteur de savon, comme Apache Axis 2 / Java.En tant que solution de contournement, vous pouvez consulter votre code pour vérifier qu'aucune entrée non fiable ou non animée n'est transmise à "ServiceFactory.getService", ou en appliquant le correctif à partir de https://github.com/apache/axis-axis1-java/commit/7e66753427232090d6def0125e448d2791723090d6def0125e448d2791723090d6def0125e448d2791723090d6def0125e448d27917231.Le projet Apache Axe ne s'attend pas à créer une version Axe 1.x résolvant ce problème, bien que les contributeurs qui souhaitent travailler à cela soient les bienvenus.
** UNSUPPPORTED WHEN ASSIGNED ** ** UNSUPPORTED WHEN ASSIGNED ** When integrating Apache Axis 1.x in an application, it may not have been obvious that looking up a service through "ServiceFactory.getService" allows potentially dangerous lookup mechanisms such as LDAP. When passing untrusted input to this API method, this could expose the application to DoS, SSRF and even attacks leading to RCE. As Axis 1 has been EOL we recommend you migrate to a different SOAP engine, such as Apache Axis 2/Java. As a workaround, you may review your code to verify no untrusted or unsanitized input is passed to "ServiceFactory.getService", or by applying the patch from https://github.com/apache/axis-axis1-java/commit/7e66753427466590d6def0125e448d2791723210 . The Apache Axis project does not expect to create an Axis 1.x release fixing this problem, though contributors that would like to work towards this are welcome. |
| Notes | |
| Envoyé | Oui |
| Condensat | 2/java 2023 40743 allows apache api application applying are assigned attacks axis axis1 been code com/apache/axis contributors could create cve dangerous different does dos engine eol even expect expose fixing from getservice has have https://github input integrating java/commit/7e66753427466590d6def0125e448d2791723210 ldap leading like looking lookup may mechanisms method migrate not obvious passed passing patch potentially problem project rce recommend release review service servicefactory soap ssrf such though through towards unsanitized unsupported unsuppported untrusted verify welcome when work workaround would your |
| Tags | |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.